Consejos para mitigar el Log4j
- Opinión
Hace unos días se reveló una vulnerabilidad crítica de ejecución remota de código (CVE-2021-44228) en Log4j, una utilidad de log de código abierto que se utiliza ampliamente en aplicaciones, incluyendo organizaciones de todos los tamaños y sectores.
Aunque desde Akamai observamos por primera vez intentos de explotación de la vulnerabilidad Log4j el 9 de diciembre, vemos una creciente evidencia que sugiere que puede haber sido explotada durante meses. Desde la publicación de la vulnerabilidad, hemos visto múltiples variantes del exploit a una tasa sostenida de tráfico de ataque de alrededor de 2 millones de intentos por hora. La velocidad a la que evolucionan las variantes no tiene precedentes.
Lo que podría haber parecido una brecha de seguridad más, se ha convertido una de las ciberamenazas más dañinas de los últimos años y ha provocado ataques a multitud de empresas tanto en España como en el resto del mundo.
Hemos notado que las geografías de las IP atacantes siempre se están moviendo. El 15 de diciembre, detectamos que Canadá, la Federación de Rusia, sorprendentemente Luxemburgo y el Reino Unido eran los países desde donde se habían estado enviando la mayoría de los ataques log4j.
El sector del ecommerce ha sido el más atacado hasta el momento. Sin embargo, esta vulnerabilidad afecta a todo tipo de industrias. Desde Akamai hemos detectado que más del 50% de nuestros clientes recibieron ataques en una sóla hora.
La ola de ataques también fue global. La mayoría de los ataques se originaron inicialmente en los Estados Unidos, Singapur, Alemania y Brasil, pero las zonas geografías estaban muy distribuidas. También observamos algunos de los ataques provenientes de servidores alojados por proveedores de nube como AWS y DigitalOcean.
La vulnerabilidad permite a los ciberdelincuentes exfiltrar información y ejecutar código malicioso en sistemas que ejecutan aplicaciones que utilizan la biblioteca mediante la manipulación de mensajes de log. Ya existen informes de herramientas que realizan análisis en todo Internet en un intento de localizar servidores vulnerables, y nuestros equipos de inteligencia de amenazas están viendo intentos de explotar esta vulnerabilidad en volúmenes alarmantes. Log4j está incorporado en muchos frameworks conocidos y muchas aplicaciones Java, lo que hace que el impacto sea generalizado.
Si bien la acción más importante que se debe tomar durante cualquier vulnerabilidad es parchear los sistemas infectados, los investigadores de seguridad comprenden que eso lleva tiempo. En muchos casos, es posible que las organizaciones ni siquiera tengan visibilidad de qué sistemas son vulnerables. Como tal, se deben implementar mitigaciones adicionales para reducir la superficie de ataque tanto como sea posible.
Para ayudar en esto, tenemos una serie de recomendaciones. En este momento, la mayor cantidad de tráfico de ataque que estamos viendo asociado con Log4j se basa en aplicaciones web, por lo que el paso más efectivo que las organizaciones pueden dar, después de actualizar, es aprovechar las protecciones de API y aplicaciones web disponibles como las nuestras.
Mitigar el abuso de Log4j
Seguimos actualizando las reglas del firewall de aplicaciones web (WAF) para brindar protección contra este exploit y sus muchas variantes. Esto incluye la actualización de la regla 3000014 dentro de Kona Rule Set y nuestra Adaptive Security Engine. Para los clientes que utilizan los Automatic Attack Groups, hemos actualizado el grupo de inyección de comandos. Todos los clientes que actualmente tengan esas reglas o grupos de ataque activados en el modo DENY recibirán protección automática online para motores y versiones de protección. Kona Rule Set (KRS): cualquier versión con fecha del 29 de octubre de 2019 o posterior. Automatic Attack Groups (AAG): cualquier versión y Adaptive Security Engine (ASE): cualquier versión.
Es posible que muchos servidores, especialmente aquellos en entornos de alto riesgo, como los que tienen acceso directo a Internet, ya se hayan visto comprometidos. Es muy importante localizar indicadores de compromiso a través de este comando.
sudo egrep -i -r '\ $ \ {jndi: (ldap [s]? | rmi | dns): //' / var / log
Si bien las protecciones WAF pueden ser muy efectivas para los servidores web en esta etapa, las organizaciones también deben considerar vías alternativas de ataque que pueden haber llevado a un compromiso. Con ese fin, recomendamos emplear la microsegmentación para ganar visibilidad a una posible exposición y reducir el riesgo y la propagación.
Mitigación del abuso de Log4j mediante la segmentación
Mediante la segmentación se puede aprovechar la visibilidad a nivel de proceso para identificar aplicaciones vulnerables y riesgos de seguridad en el entorno. Esto luego se puede usar para implementar un control preciso sobre el tráfico de la red para detener los ataques a sistemas vulnerables, sin interrupción en las operaciones.
Para protegerse contra posibles abusos de Log4j, es necesario identificar primero los procesos potencialmente explotables. Esto requiere una visibilidad profunda del tráfico de la red a nivel de proceso. La visibilidad precisa de las conexiones y el tráfico de Internet nos permite ver claramente qué pasos de mitigación deben tomarse sin afectar al desarrollo normal del negocio.
Detención del ataque: bloquee los IoC maliciosos y los vectores de ataque
Es imperativo poder tomar medidas una vez que se hayan identificado las aplicaciones vulnerables. Mientras se realizan las actualizaciones, desde Akamai ofrecemos multitud de opciones para alertar, detener y prevenir ataques. Fundamentalmente, se requiere una solución con un control detallado y preciso sobre la comunicación de la red y el tráfico para bloquear o aislar quirúrgicamente los vectores de ataque, con una interrupción mínima o nula de la operativa normal. Éstas incluyen: bloqueo automático de IoC, poner en cuarentena los servidores comprometidos, bloquear el tráfico entrante y saliente a activos vulnerables y bloquear el tráfico saliente de las aplicaciones Java a Internet.
Nuestro equipo de expertos en seguridad monitoriza los sistemas de nuestros clientes de forma continua notificando de cualquier alerta de seguridad de inmediato así como los pasos a seguir para mitigar el impacto.
