Actualización de Log4j: 60 variaciones de Log4Shell, cientos de miles de ataques

La gravedad de la vulnerabilidad en Log4j es todo menos teórica. Los ciberdelincuentes escanean puertos en todo el mundo para encontrar formas de explotarlos. Los investigadores de seguridad observaron cientos de miles de ataques.

En los últimos días, Check Point Software reconocido 470,000 intenta escanear redes corporativas en todo el mundo. Los escaneos se realizan, entre otras cosas, para encontrar servidores que permitan solicitudes HTTP externas. Estos servidores son propensos a explotar la infame vulnerabilidad en la biblioteca de Java Log4j.. Si un servidor permite solicitudes HTTP, un atacante puede hacer ping al servidor con una sola línea que apunta a un servidor remoto con instrucciones de Java para la ejecución de malware. Si el servidor al que se hizo ping está conectado a una aplicación Java que procesa Log4j, la aplicación Java procesa la línea como un comando para ejecutar el malware. En la parte inferior de la línea, el servidor de la víctima ejecuta lo que ordena un atacante. La organización de seguridad Sophos dice que ha identificado cientos de miles de ataques.

Rostros familiares

Anteriormente escribimos un artículo esclarecedor sobre la operación técnica mencionada anteriormente de la vulnerabilidad en Log4j. La condición previa más importante para el abuso es la capacidad de acceder a aplicaciones Java que incorporen Log4j. En algunos casos, esto es un juego de niños.. Por ejemplo, Apple usó iCloud Log4j para registrar los nombres de los iPhones. Cambiando el nombre del modelo de un iPhone en iOS a una instrucción para Java, resultó ser posible descifrar los servidores de Apple.

En otros casos, las aplicaciones son menos fáciles de influir. La mayor amenaza proviene de atacantes con experiencia., conocimiento y técnicas existentes. Los investigadores de seguridad de Netlab360 instalaron dos sistemas señuelo (honeypots, ed.) para invitar ataques a aplicaciones Java con Log4j. Así, los investigadores atrajeron nueve nuevas variaciones de tipos de malware conocidos., incluyendo MIRAI y Muhstik. Las cepas de malware están diseñadas para abusar de Log4j. Un objetivo de ataque común es el refuerzo de botnets para cripto minería y ataques DDoS.. Check Point Software realizó una encuesta similar a mayor escala. En los últimos días, la organización de seguridad registrada 846,000 ataques.

Defensa

Es obvio que los ciberdelincuentes buscan y explotan versiones vulnerables de Log4j. La defensa más recomendable es y sigue siendo hacer un inventario de todas las aplicaciones Log4j en un entorno. Si el proveedor de la aplicación en la que se utiliza Log4j ha lanzado una versión actualizada, se recomienda parchear. If not, deshabilitar es la opción más segura. El NCSC mantiene una descripción general de la vulnerabilidad del software en el que se procesa Log4j.

Actualmente es todo menos recomendable desarrollar sus propias medidas de software o ajustar el funcionamiento de Log4j. La vulnerabilidad tiene variaciones. Microsoft, entre otros, detectó múltiples variantes de la regla utilizada para indicar a las aplicaciones Java que ejecuten malware. Check Point habla de más de 60 mutaciones.