Foi encontrada uma falha de software em um grande número de aplicativos, portais e serviços por um trabalhador do consórcio chinês privado Alibaba, informou na sexta-feira (10) o portal TechCrunch.
A vulnerabilidade foi descoberta na ferramenta de registro de código aberto Apache Log4j por Chen Zhaoijun pela primeira vez no videojogo Minecraft, propriedade da Microsoft, segundo o TechCrunch.
A LunaSec, empresa de cibersegurança, alerta que essa vulnerabilidade, que recebeu o nome de Log4Shell, pode ter se espalhado para "muitos serviços" devido à sua ubiquidade em aplicativos e servidores empresariais baseados na linguagem de programação Java. Até agora isso foi confirmado pelos serviços das empresas Apple, Amazon, Cloudflare, Twitter, Steam, Baidu, NetEase, Tencent e Elastic, mas é estimado que o número total de empresas e organizações afetadas possa chegar a milhares.
Robert Joyce, diretor de cibersegurança da Agência de Segurança Nacional, na sigla em inglês (NSA, na sigla em inglês) dos EUA, já opinou que se trata de uma "ameaça significante", e confirmou que a GHIDRA, ferramenta de engenharia inversa de código aberto desenvolvido pela organização, já foi afetada.
De acordo com Amiot Yoran, que foi citado pela agência norte-americana Associated Press (AP), trata-se da "maior, mais crítica vulnerabilidade da última década". Adam Meyers, vice-presidente sênior de inteligência da empresa de cibersegurança Crowdstrike, por sua vez, adverte que os cibercriminosos têm desenvolvido e distribuído ferramentas para explorar a falha.
A corporação Apache Software Foundation já lançou uma atualização de segurança de emergência para a vulnerabilidade de dia zero, e implementou uma série de medidas de mitigação para os usurários que não puderem instalar a atualização de imediato.