A Comissão Europeia, a Agência da UE para Cibersegurança (CERT-EU) e a rede das equipas de resposta a incidentes de segurança informática nacionais da UE (rede CSIRTs) têm acompanhado de perto, desde 10 de dezembro de 2021, o desenvolvimento da vulnerabilidade Log4Shell, que permite a um atacante não autenticado a execução de código remoto.
Log4Shell é uma vulnerabilidade no conhecido pacote de criação de log Java, de código aberto Log4j, mantido pela Apache Software Foundation. Log4j é usado numa ampla variedade de aplicações e serviços da Web em todo o mundo. Devido à natureza da vulnerabilidade, a sua omnipresença e a complexidade de patching em alguns dos ambientes afetados, é importante que todas as organizações, especialmente as entidades que se enquadram na Diretiva de Segurança de Rede e Informação (NIS), avaliem sua exposição potencial o mais rápido que possível.
Os membros da Rede CSIRTs estão continuamente a atualizar uma lista de software vulnerável, que é mantida pelo Centro Nacional de Segurança Cibernética da Holanda. É importante que medidas de mitigação adequadas sejam aplicadas em tempo hábil e que as organizações sigam a orientação das suas autoridades nacionais de segurança cibernética. Os últimos avisos publicados pelos Membros da Rede CSIRTs podem ser encontrados nos seus canais de comunicação oficiais relevantes. As organizações também podem consultar as orientações fornecidas pela CERT-EU.
Como esta é uma situação em desenvolvimento, é fortemente recomendado que todas as organizações verifiquem regularmente as orientações fornecidas pelos membros da rede CSIRTs e CERT-EU para obter as avaliações e conselhos mais recentes e tomar as medidas necessárias.
A Agência e todos os intervenientes relevantes da UE continuarão a monitorizar esta ameaça, a fim de contribuir para o conhecimento geral da situação a nível da União.
Para obter informações técnicas básicas sobre a vulnerabilidade e recomendações: Aviso de Segurança 2021-067 - CERT-EU
Para obter orientação sobre a resposta, consulte a autoridade nacional competente: CSIRTs por país - Mapa interativo - ENISA
Os últimos avisos publicados pelos membros da rede CSIRTs estão disponíveis aqui: https://github.com/enisaeu/CNW/blob/main/advisories.md