Una grave vulnerabilidad en Apache Log4j está siendo explotada

  • Actualidad

Aunque primeramente está dirigida a los mineros de criptomonedas, puede utilizarse para atacar toda una serie de objetivos de alto valor, como los bancos, la protección del Estado y las infraestructuras críticas. Apache ha proporcionado un parche para mitigar la vulnerabilidad.

Recomendados: 

Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento

Microsegmentación, clave para seguridad empresarial Leer

Identificación de ataques web Leer 

Los principales investigadores de seguridad alertan del hallazgo de una vulnerabilidad crítica de ejecución remota de código (RCE) en el paquete de registro de Apache Log4j, que afecta a la versión 2.14.1 e inferiores (CVE-2021-44228), y que está siendo activamente explotada. La gravedad de esta amenaza es que Apache Log4j es la biblioteca de registro java más popular, y es utilizada por un gran número de empresas en todo el mundo, permitiendo el registro en un amplio conjunto de aplicaciones muy conocidas. Hasta ahora se ha observado un intento de explotación en más del 40% de las redes corporativas a nivel mundial.

La biblioteca Log4j está integrada en casi todos los servicios o aplicaciones de Internet que conocemos, como Twitter, Amazon, Microsoft, Minecraft y otros. Explotar esta vulnerabilidad es sencillo y permite a los ciberdelincuentes controlar servidores web basados en java y lanzar ataques de ejecución remota de código. En la actualidad la mayoría de los ataques se centran en el uso de la minería de criptomonedas a costa de las víctimas, sin embargo, los ciberdelincuentes pueden atacar a objetivos de mayor calidad, tanto en HTTP como en HTTPS.

Esta vulnerabilidad, debido a la complejidad para parchearla y a la facilidad para explotarla, permanecerá con nosotros durante años, a menos que las empresas y los servicios tomen medidas inmediatas para evitar ataques a sus productos. Apache ha proporcionado un parche (Log4j 2.15.0) para mitigar la vulnerabilidad, y se insta a usuarios a actualizar su versión en consecuencia.

Hallazgos de los investigadores

Desde el pasado viernes, los investigadores Check Point Software han sido testigos de la introducción rápida de nuevas variaciones del exploit original, más de 60 en menos de 24 horas. Desde la compañía han evitado más de 845.000 intentos de asignación de la vulnerabilidad, más del 46% de esos intentos fueron realizados por grupos maliciosos conocidos. "Empezamos a aplicar nuestra protección el viernes y el domingo ya habíamos evitado más de 400.000 intentos de explotar la vulnerabilidad en más de un tercio de todas las redes corporativas del mundo. Lo más preocupante es el hecho de que casi la mitad de esos intentos fueron realizados por grupos maliciosos conocidos. Los equipos de seguridad deben actuar con la máxima urgencia, ya que el potencial de daño es incalculable", alerta Lotem Finkelstein, director de inteligencia de amenazas e investigación de Check Point Software Technologies.

Por su parte, además de minería de criptomonedas, Bitdefender ha confirmado diferentes modalidades de ataques que utilizan esta vulnerabilidad, principalmente para instalar Khonsari, una nueva familia de ransomware dirigida a Windows; implementar el troyano de acceso remoto Orcus; utilizar Shell inversos basados en bash para futuros ataques; e omplementar puertas traseras a través de botnets como Muhstik, entre otras.

Desde Sophos han observado que los intentos de atacar los servicios de red empiezan probando diferentes vías. Alrededor del 90% de los intentos detectados por Sophos se centraban en el Protocolo Ligero de Acceso a Directorios (LDAP). Un número menor de intentos se ha dirigido a la Interfaz Remota de Java (RMI), aunque los investigadores han detectado que parece haber una mayor variedad de intentos relacionados únicamente con RMI. Sophos espera que los atacantes intensifiquen y diversifiquen sus métodos de ataque y sus motivaciones en los próximos días y semanas, sin descartar la posibilidad de que aprovechen ataques de ransomware.

En España, Kaspersky ha detectado más de 700 intentos de escaneo en las redes de los usuarios de sus soluciones por parte de los cibercriminales, a la búsqueda de esta vulnerabilidad. "Lo que hace que esta vulnerabilidad sea especialmente peligrosa no es sólo el hecho de que los atacantes puedan obtener el control total del sistema, sino lo fácil que es explotarla. Incluso un hacker sin experiencia puede aprovecharla, y ya estamos viendo que los ciberdelincuentes están buscando activamente software para explotar con esta CVE", comenta Evgeny Lopatin, experto en seguridad de Kaspersky.