Cidade do México. Dias após a descoberta de um dos maiores vazamentos já vistos pelas forças militares chilenas, no final de setembro, um grupo de jornalistas mexicanos recebeu, do grupo feminista de hackers autodenominado Guacamayas, um nome de usuário e uma senha para baixar 6 terabytes de documentos militares e do governo.

Os documentos continham informações importantes, como a agenda do ministro da Defesa, relatórios médicos do presidente e outros detalhes de operações militares mexicanas.

Dias depois, o grupo divulgou um vídeo do hack em tempo real, detalhando como as vulnerabilidades nos servidores de e-mail ZIMBRA poderiam ser exploradas (CVE-2022-27925 e CVE-2022-37042)^[1] para fazer upload de arquivos arbitrários para o sistema, levando a ataques de path traversal e também à execução de código remota.

E não foi só isso: no ano passado o grupo Guacamayas também atacou organizações na Colômbia e no Peru.

Esses casos nos permitem ver que, atualmente, nem mesmo as organizações mais importantes estão isentas de falhas de segurança, já que vulnerabilidades críticas surgem a todo momento. Isso foi confirmado em outros escândalos globais de vazamento de dados nos últimos anos, como Wikileaks^[2], Pandora Papers^[3] e Panama Papers^[4].

É por isso que entidades públicas e privadas devem tratar como absoluta prioridade o uso de soluções robustas para proteger componentes vulneráveis de software — não apenas servidores de e-mail e redes, mas especialmente suas aplicações e os dados críticos que geralmente estão por trás delas.

Vulnerabilidades da Web

O caso Guacayama nos mostra que qualquer vulnerabilidade — seja ela conhecida por pesquisadores ou apenas por hackers — é uma oportunidade imensa de ataque.

Para você ter uma ideia, estima-se que o custo do crime cibernético atualmente seja equivalente a 1% do PIB global e que, em média, as organizações precisam de até 50 dias para resolver um ataque interno^[5].

Em 2021, os principais ataques do mundo foram extorsão, roubo de identidade, violação de dados pessoais e ataques de phishing^[6].

No caso específico das aplicações web, existem diversas vulnerabilidades registradas pela organização OWASP, e estão listadas no OWASP Top 10, que representam riscos críticos de segurança para as aplicações.

Nessa lista, os destaques ficam para falhas de controle de acesso, falhas criptográficas, injeções, falhas de integridade de dados, componentes desatualizados e identificação e autenticação.

Proteja sua cadeia de suprimentos de software para aplicações

Grande parte dos softwares utilizados pelas empresas hoje inclui componentes externos, estruturas de código aberto e bibliotecas de terceiros. O mesmo acontece com uma grande quantidade de códigos de aplicações, que representa a “cadeia de suprimentos”.

Além disso:

70% das bases de código de aplicação são compostas de código-fonte aberto^[7].
Em média, 118 bibliotecas de código aberto são usadas em uma aplicação^[8].
97% das aplicações Java são compostas de bibliotecas de código aberto^[9].

Nenhum código é perfeito

Como o software fica desatualizado e as vulnerabilidades são descobertas de tempos em tempos, as bibliotecas e estruturas de código devem ser atualizadas de forma consistente. Caso contrário, o software e as aplicações que usam o código podem estar sujeitos a exploits.

Hoje, quando novas vulnerabilidades são descobertas por pesquisadores de cibersegurança e hackers éticos, elas são compartilhadas na comunidade de segurança para que organizações do mundo todo possam responder e se proteger da exploração das falhas. No entanto, vulnerabilidades também podem ser descobertas por hackers antiéticos, e o resultado desastroso disso você já conhece.

E o risco de se ter componentes vulneráveis e desatualizados é tão grande que tem até mesmo sua própria categoria nas 10 principais ameaças de aplicações listadas pelo OWASP.

Vulnerabilidades Apache Log4j

Como mencionamos, as vulnerabilidades são continuamente descobertas e divulgadas ao longo do tempo, e alguns dos exemplos recentes mais críticos e mais conhecidos foram encontrados em bibliotecas Apache muito usadas em 2021. Essas vulnerabilidades foram nomeadas como CVE-2021-44228 e CVE 2021-41773 e representaram riscos enormes.

CVE-2021-44228 é um exploit que permite que a biblioteca de log seja extraída, dando a usuários não autorizados o controle total de um servidor.

Ela representa, portanto, uma das vulnerabilidades mais perigosas, pois permite que invasores executem códigos maliciosos dos servidores afetados no que é conhecido como Remote Code Execution (RCE) — um dos piores cenários para uma equipe de segurança.

Esse exploit é possível em servidores sem patches e oferece aos invasores a possibilidade de executar código arbitrário carregado de servidores LDAP quando a substituição de pesquisa de mensagens está habilitada.

Já a CVE 2021-41773 surgiu das alterações feitas no Apache HTTP Server 2.4.49 na normalização de caminho, que permite que invasores acessem arquivos e diretórios armazenados fora da pasta raiz da web. Isso possibilita que tenham acesso a diretórios contendo arquivos como scripts CGI ou até mesmo assumam o controle do servidor.

Talvez nunca saibamos a extensão total do dano causado às organizações que demoraram a corrigir ou tinham sistemas de segurança inadequados, mas devido ao amplo uso dessas bibliotecas, temos a certeza de que essas CVEs causaram muitos problemas aos stakeholders do mundo todo.

Como se proteger contra vulnerabilidades

Na América Latina, como no restante do mundo, as organizações estão se perguntando como se proteger contra essas e outras vulnerabilidades que estão por vir.

Isso representa um grande desafio para os programas Secure SDLC (Software Development Life Cycle), pois ao mesmo tempo em que ajudam as organizações a produzirem rapidamente softwares de alta qualidade, elas encontram desafios que causam atrasos, como vulnerabilidades ou bugs críticos de segurança (geralmente encontrados no último minuto antes da implementação). O resultado disso: cadências de liberação e inovação mais lentas.

Nesse cenário, a pergunta que surge é: o que podemos fazer para proteger nossas aplicações e os seus componentes inevitavelmente vulneráveis?

WAF para mitigar ameaças

Prevenir ataques é a missão de toda organização. Os hackers esperam qualquer oportunidade para agir, e casos como Guacamaya Leaks, Wikileaks ou Pandora Papers deixaram isso muito evidente.

Hoje, soluções de cibersegurança como WAFs são amplamente utilizadas para proteger a cadeia de suprimentos de software de aplicações, pois:

filtram requisições maliciosas antes que elas atinjam aplicações de origem, servidores da web e infraestrutura;
atuam como um patch virtual, permitindo que desenvolvedores, equipes de segurança ou DevSecOps tenham mais tempo para corrigir vulnerabilidades;
representam menor risco de vulnerabilidades em códigos legados e de terceiros, especialmente se o WAF for gerenciado por um fornecedor com forte inteligência contra ameaças e conjuntos de regras eficientes que protegem até mesmo contra ataques de zero-day.

Além disso, o WAF é uma solução comprovada de menor risco de segurança e ajuda as organizações a cumprirem os regulamentos e os requisitos de compliance (incluindo PCI 6.6 e outros).