Uma vulnerabilidade crítica de dia zero que afeta o Apache Log4j2 foi divulgada no dia 09/12. Apelidada de Log4Shell, quando explorada resulta em uma Execução de Código Remoto (RCE). Diversos relatos apontam que a vulnerabilidade está sendo ativamente explorada.

O Log4j2 é uma biblioteca Java amplamente utilizada. A biblioteca faz parte do projeto Apache Logging Services da Apache Software Foundation.

O diagrama a seguir apresenta a forma de ataque e as possíveis tecnicas de proteção.

A versão 2.15.0 foi disponibilizada para correção do problema.

Fontes:

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228(opens new window)
• https://logging.apache.org/log4j/2.x/security.html(opens new window)
• https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/