A Apache Logging Services divulgou uma vulnerabilidade no Log4j Core que pode permitir a interceptação de tráfego de logging via Socket Appender. A correção foi publicada nesta sexta‑feira na versão 2.25.3 do Log4j Core.
Descrição técnica
O problema (identificado como CVE‑2025‑68161 no relatório) afeta o Socket Appender nas versões 2.0‑beta9 até 2.25.2. A implementação falha em verificar corretamente o hostname TLS do certificado apresentado pelo par, mesmo quando a verificação é explicitamente habilitada via configuração.
Vetor de exploração
Para explorar a falha, um atacante precisa posicionar‑se entre o cliente que envia logs e o receptor de logs (man‑in‑the‑middle) enquanto apresenta um certificado TLS emitido por uma autoridade de certificação que seja confiada pelo trust store do Socket Appender. Se o trust store aceitar o certificado, o tráfego de logs pode ser interceptado ou redirecionado.
Severidade e escopo
A Apache atribuiu ao problema um score CVSS de 6.3 (classificação média), refletindo a complexidade do ataque e os pré‑requisitos necessários. Apesar de não ser uma CVSS crítica, o impacto é sensível dado que logs frequentemente contêm informações confidenciais e dados de auditoria.
Mitigação e recomendações
A Apache já liberou a versão 2.25.3 que corrige a verificação de hostname TLS do Socket Appender. As recomendações do fornecedor incluem atualização imediata para 2.25.3 quando possível. Para sistemas que não podem atualizar imediatamente, a Apache recomenda restringir rigorosamente o uso do trust store, seguindo as orientações do NIST SP 800‑52 Rev. 2 — mantendo apenas os certificados CA estritamente necessários para o escopo de comunicação (por exemplo, CAs privadas ou de empresa).
Evidências e limitações
O comunicado descreve o cenário de ataque e a correção, mas não relata exploração ativa no ambiente wild. A natureza do vetor (requisição de posição MITM + certificado confiado) limita a exploração a cenários em que a infraestrutura de rede possa ser comprometida ou confiada a terceiros.
Implicações operacionais
- Equipes de logging e de infraestrutura devem priorizar inventário de aplicações que utilizam Socket Appender e planejar atualização o mais rápido possível.
- Auditar trust stores e reduzir CAs confiadas pode mitigar risco até a atualização.
- Monitorar logs em paralelo (por exemplo, replicação para destinos internos isolados) reduz dependência de canais de logging externos expostos.
Conclusão
A vulnerabilidade no Socket Appender do Log4j é corrigida pela versão 2.25.3. Embora o CVSS seja médio e a exploração exija condições específicas de MITM com certificado confiável, a sensibilidade dos dados de log justifica atualização urgente e revisão de trust stores em ambientes corporativos.