Diretora da Agência de Segurança Cibernética e de Infraestrutura dos EUA chamou o episódio de “um das falhas mais graves” que ela já viu em sua carreira
Milhões de dispositivos em todo o mundo podem estar expostos a uma vulnerabilidade de software recém-revelada, como mostrou uma oficial cibernética do governo Biden a executivos das principais indústrias dos EUA, na segunda-feira (13).
Segundo ela, as indústrias precisam tomar medidas para resolver “um das falhas mais graves” que ela viu em sua carreira.
Enquanto as principais empresas de tecnologia lutam para conter as consequências, as autoridades americanas fizeram uma ligação com executivos do setor avisando que os hackers estão explorando ativamente a vulnerabilidade dos sistemas.
Por enquanto, disseram analistas de cibersegurança à CNN, a pressão recai sobre as empresas de tecnologia para limpar o código de software e sobre as grandes empresas para descobrirem se estão afetadas pela falha.
Mas, como a vulnerabilidade é tão difundida e provavelmente presente em coisas como aplicativos e sites populares, os consumidores também podem sentir as consequências se esses serviços forem realmente hackeados.
“Essa vulnerabilidade é uma das mais sérias que já vi em toda a minha carreira, senão a mais séria”, disse Jen Easterly, diretora da Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA), em uma ligação compartilhada com a CNN.
Grandes firmas financeiras e executivos da área de saúde compareceram ao briefing por telefone.
“Esperamos que a vulnerabilidade seja amplamente estudada por agentes especializados, temos tempo limitado para tomar as medidas necessárias a fim de reduzir a probabilidade de incidentes prejudiciais”, disse Easterly.
A CNN entrou em contato com a CISA para comentar a reunião. CyberScoop, um site de notícias de tecnologia, relatou primeiro o conteúdo da chamada.
Este é o aviso mais severo, feito por autoridades americanas, sobre a falha de software desde que foi divulgada na semana passada a notícia de que os hackers o estavam usando para tentar invadir as redes de computadores de organizações.
É também um teste de novos canais que as autoridades federais criaram para trabalhar com executivos do setor após os ataques cibernéticos generalizados de exploração do SolarWinds e do software da Microsoft revelados no ano passado.
Especialistas disseram à CNN que pode levar semanas para resolver as vulnerabilidades. Além disso, eles apontam que supostos hackers chineses já estão tentando explorá-la.
A vulnerabilidade está no software baseado em Java conhecido como “Log4j” que grandes organizações, incluindo algumas das maiores empresas de tecnologia do mundo, usam para registrar informações em seus aplicativos.
Gigantes da tecnologia como Amazon Web Services e IBM mudaram-se para resolver o bug em seus produtos.
Ele oferece ao hacker uma maneira relativamente fácil de acessar o servidor de computador de uma organização.
A partir daí, um invasor pode inventar outras maneiras de acessar sistemas na rede de uma organização.
A Apache Software Foundation, que gerencia o software Log4j, lançou uma correção de segurança para as organizações aplicarem.
Corrida contra o tempo para corrigir a falha
Mas os invasores tiveram mais de uma semana de vantagem na exploração da falha de software antes que ela fosse divulgada publicamente, de acordo com a empresa de segurança cibernética Cloudflare.
As organizações agora estão em uma corrida contra o tempo para descobrir se possuem computadores executando o software vulnerável que foi exposto à Internet.
Os executivos de segurança cibernética do governo e da indústria estão trabalhando continuamente no assunto.
“Teremos que ter certeza de que temos um esforço sustentado para entender o risco desse código em toda a infraestrutura importante dos Estados Unidos”, disse Jay Gazlay, outro funcionário da CISA, por telefone.
Hackers vinculados ao governo chinês já começaram a usar a vulnerabilidade, de acordo com Charles Carmakal, vice-presidente sênior e diretor de tecnologia da empresa de segurança cibernética Mandiant.
Mandiant recusou-se a entrar em detalhes sobre quais organizações os hackers têm como alvo.
“Com o tempo, todos podem armar a maldita coisa”, disse o CEO da Mandiant, Kevin Mandia, à CNN, referindo-se à vulnerabilidade.
“Esse é o problema. E provavelmente haverá grandes hackers se escondendo no meio de outros não tão bons.”
O “barulho” é um problema real. Para os profissionais de segurança cibernética, o Twitter tem sido uma constante agitação de informações úteis e, em alguns casos, desinformação que nada tem a ver com a vulnerabilidade.
Para resolver o problema, a CISA disse que criaria um site público com informações sobre quais produtos de software foram afetados pela vulnerabilidade e as técnicas que os hackers estavam usando para explorá-la.
“Este será um processo de várias semanas em que novos atores estão explorando a vulnerabilidade”, disse Eric Goldstein, diretor-assistente executivo de segurança cibernética da CISA, por telefone.
A onipresença do software obrigou os profissionais de segurança cibernética de todo o país a passarem o fim de semana verificando se seus sistemas estão vulneráveis.
“Para a maior parte do mundo da tecnologia da informação, não havia fim de semana”, disse Rick Holland, diretor de segurança da informação da empresa de segurança cibernética Digital Shadows, à CNN. “Foi apenas mais um longo conjunto de dias.”
*Com informações de Geneva Sands, da CNN