La gravedad de la vulnerabilidad en Log4j es cualquier cosa menos teórica. ciberdelincuentes scan puertos de todo el mundo para encontrar formas de explotarlos. Los investigadores de seguridad observaron cientos de miles de ataques.
En los últimos días, Check Point Software reconoció 470,000 intentos de scan redes corporativas en todo el mundo. El scanLos correos electrónicos se realizan, entre otras cosas, para encontrar servidores que permitan solicitudes HTTP externas. Dichos servidores son propensos a explotar la infame vulnerabilidad en la biblioteca Java Log4j. Si un servidor permite solicitudes HTTP, un atacante puede hacer ping al servidor con una sola línea que apunta a un servidor remoto con instrucciones Java para la ejecución de malware. Si el servidor al que se le hizo ping está conectado a una aplicación Java que procesa Log4j, la aplicación Java procesa la línea como un comando para ejecutar el malware. En la parte inferior de la línea, el servidor de la víctima ejecuta lo que ordena un atacante. La organización de seguridad Sophos dice que ha identificado cientos de miles de ataques.
Rostros familiares
Anteriormente escribimos un artículo esclarecedor sobre la operación técnica mencionada anteriormente de la vulnerabilidad en Log4j. La mayor condición previa para el abuso es la capacidad de llegar a las aplicaciones Java que incorporan Log4j. En algunos casos esto es un juego de niños. Por ejemplo, Apple usó iCloud Log4j para registrar los nombres de iPhones. Al cambiar el nombre del modelo de un iPhone en iOS a una instrucción para Java, resultó posible descifrar los servidores de Apple.
En otros casos, las aplicaciones son menos fáciles de influenciar. La mayor amenaza proviene de atacantes con experiencia, conocimiento y técnicas existentes. Los investigadores de seguridad de Netlab360 configuraron dos sistemas de señuelo (honeypots, ed.) para invitar ataques a aplicaciones Java con Log4j. De este modo, los investigadores atrajeron nueve nuevas variaciones de tipos de malware conocidos, incluidos MIRAI y Muhstik. Las cepas de malware están diseñadas para abusar de Log4j. Un objetivo de ataque común es el refuerzo de botnets para criptominería y ataques DDoS. Check Point Software realizó una encuesta similar a mayor escala. En los últimos días, el organismo de seguridad registró 846,000 ataques.
Defensa
Es obvio que los ciberdelincuentes buscan y explotan versiones vulnerables de Log4j. La defensa más recomendable es y sigue siendo inventariar todas las aplicaciones de Log4j en un entorno. Si el proveedor de la aplicación en la que se utiliza Log4j ha lanzado una versión actualizada, se recomienda parchear. Si no, la desactivación es la opción más segura. El NCSC mantiene una visión general de la vulnerabilidad del software en el que se procesa Log4j.
Actualmente es todo menos recomendable desarrollar sus propias medidas de software o ajustar el funcionamiento de Log4j. La vulnerabilidad tiene variaciones. Microsoft, entre otros, detectó múltiples variantes de la regla utilizada para indicar a las aplicaciones Java que ejecuten malware. Check Point habla de más de 60 mutaciones.