Muchas empresas se encuentran expuestas a posibles ataques de código remoto por culpa de Log4Shell, una reciente vulnerabilidad calificada como el peor hack de la historia.
¿Qué es Log4Shell?
Se trata de una grave vulnerabilidad en un sistema de registros muy utilizado por los desarrolladores de aplicaciones web y servidores basados en Java. Este ataque permite entrar a los sistemas informáticos y servidores sin una contraseña.
La vulnerabilidad se detectó en el popular juego Minecraft, cuyos servidores se hackearon con unas líneas de texto transmitidas en un chat. Los piratas informáticos pueden realizar su ataque a través de la utilidad de registro basada en Java de código abierto Log4J.
El informe de Sophos, Log4Shell Hell: Anatomy of an Exploit Outbreak, aporta información sobre los ataques relacionados con Log4Shell:
- Se está produciendo un rápido aumento de los ataques que explotan o intentan explotar esta vulnerabilidad, con cientos de miles de intentos detectados hasta ahora
- Las redes de bots de criptominería están siendo los primeros en explotar esta vulnerabilidad. Estas redes de bots se centran en plataformas de servidores Linux, que están especialmente expuestas a esta vulnerabilidad.
- Se han detectado intentos para extraer información de diversos servicios, entre los que se incluyen claves de Amazon Web Services y otros datos privados
- Los intentos de atacar los servicios de red empiezan probando diferentes vías. Alrededor del 90% de los intentos detectados por Sophos se centraban en el Protocolo Ligero de Acceso a Directorios (LDAP). Un número menor de intentos se ha dirigido a la Interfaz Remota de Java (RMI), aunque los investigadores de Sophos han detectado que parece haber una mayor variedad de intentos relacionados únicamente con RMI.
- Se espera que los atacantes intensifiquen y diversifiquen sus métodos de ataque y sus motivaciones en los próximos días y semanas, sin descartar la posibilidad de que aprovechen ataques de ransomware.
Gran amenaza para muchas empresas
Log4Shell supone una gran amenaza para muchas empresas y organizaciones. Los piratas pueden ejecutar código dentro de sus sistemas. Matthew Prince, CEO de Cloudflare, alertó de que el problema era muy grave y de que trataría de paliarlo incluso para los clientes gratuitos.
Parchear la vulnerabilidad es posible, pero cada organización debe realizarlo por separado en sus propios sistemas. Por eso es importante contar con una cobertura integral ante las ciberamenazas dirigida por especialistas.
Sean Gallagher, investigador senior de amenazas de Sophos, explica:
Desde el 9 de diciembre, Sophos ha detectado cientos de miles de intentos de ejecutar código de forma remota utilizando la vulnerabilidad Log4Shell. Inicialmente, se trataba de pruebas de penetración a través de Pruebas de Concepto (PoC), llevadas a cabo por investigadores de seguridad y atacantes potenciales, entre otros, además de muchos escaneos online de la vulnerabilidad. A esta primera fase le siguieron rápidamente los intentos de instalar mineros de criptomonedas, incluyendo la red de bots mineros Kinsing. La información más reciente sugiere que los atacantes están tratando de explotar la vulnerabilidad para exponer las claves utilizadas por las cuentas de Amazon Web Service. También hay indicios de que los atacantes intentan aprovechar la vulnerabilidad para instalar herramientas de acceso remoto en las redes de las víctimas, posiblemente Cobalt Strike, una herramienta clave en muchos ataques de ransomware.
La vulnerabilidad Log4Shell presenta un desafío nunca antes visto para los defensores. Muchas vulnerabilidades de software se limitan a un producto o plataforma específica, como las vulnerabilidades ProxyLogon y ProxyShell en Microsoft Exchange. Esto permite a los responsables de seguridad comprobar sus software y parchearlos una vez que han detectado cuál ha sufrido la vulnerabilidad. Sin embargo, Log4Shell es una biblioteca que utilizan muchos productos. Por lo tanto, puede estar presente en los rincones más oscuros de la infraestructura de una empresa, por ejemplo, en cualquier software desarrollado internamente. Encontrar todos los sistemas que son vulnerables a causa de Log4Shell debería ser una prioridad para la ciberseguridad ahora mismo”.
Según las previsiones de Sophos, la velocidad con la que los atacantes están aprovechando y utilizando esta vulnerabilidad no hará sino intensificarse y diversificarse en los próximos días y semanas. Una vez que un atacante se ha asegurado el acceso a una red, puede lanzar cualquier tipo de ataque. Por lo tanto, junto con la actualización de software ya lanzada por Apache para Log4j 2.15.0, los equipos de seguridad deben hacer una revisión exhaustiva de la actividad en la red para detectar y eliminar cualquier rastro de intrusos, incluso si solo parece un incómodo commodity malware.
