Microsoft, Amazon e outras empresas alertam sobre falha de software que pode facilitar invasão de redes corporativas

Funcionários de segurança cibernética em grandes empresas de tecnologia estão lutando para consertar uma falha séria, que os especialistas alertam que pode desencadear uma nova rodada de ataques cibernéticos, em um software amplamente usado.

O bug, escondido em um software de servidor obscuro chamado Log4j, levou a investigações sobre a profundidade do problema na Amazon.com, Twitter e Cisco Systems, de acordo com as empresas.

A Amazon, a maior empresa de computação em nuvem do mundo, disse em um alerta de segurança: "Estamos monitorando ativamente esse problema e trabalhando para solucioná-lo".

A Agência de Segurança Cibernética e de Infraestrutura (Cisa, na sigla em inglês) do Departamento de Segurança Interna dos Estados Unidos emitiu na sexta-feira um alerta sobre a vulnerabilidade e instou as empresas a agirem.

A diretora da Cisa, Jen Easterly, acrescentou no sábado: "Para ser claro, essa vulnerabilidade representa um risco grave. Só minimizaremos os impactos potenciais por meio de esforços colaborativos entre o governo e o setor privado".

Provedores de software que incluem Log4j em seus produtos, como Red Hat, Oracle e VMware da International Business Machines, disseram que estão implantando correções.

Como o bug é fácil de explorar e os ataques difíceis de bloquear, o problema Log4j pode ser usado por hackers para invadir redes corporativas nos anos que virão, disse Aaron Portnoy, principal cientista da empresa de segurança Randori. "É uma das vulnerabilidades mais significativas que vi em muito tempo", disse ele.

A falha dá aos hackers uma maneira de transformar os arquivos de log que rastreiam o que os usuários fazem nos servidores de computador em instruções maliciosas que forçam a máquina a baixar software não autorizado, dando-lhes uma ponta de lança na rede da vítima.

O problema foi relatado no final do mês passado para a equipe de desenvolvimento Log4j, um grupo de programadores voluntários que distribuem seu software gratuitamente como parte da Apache Software Foundation, de acordo com Ralph Goers, um voluntário do projeto.

Como o Log4j é distribuído gratuitamente, não está claro quantos servidores foram afetados pelo bug, mas o software de registro foi baixado milhões de vezes, disse Goers.

Os hackers começaram a explorar a falha recente na sexta-feira para obter acesso aos servidores que executam o software de jogos Minecraft, da Microsoft, disseram os pesquisadores. Mas eles logo observaram uma varredura generalizada e tentativas de acionar o bug Log4j.

Em uma nota publicada na sexta-feira, a Microsoft aconselhou os usuários do Minecraft a atualizar seu software para corrigir o bug. A Cisco está investigando mais de 150 de seus produtos em busca do bug Log4j. Até agora, ela encontrou três produtos vulneráveis e determinou que 23 não são vulneráveis, disse um porta-voz da empresa no sábado.