A gravidade da vulnerabilidade en Log4j é de todo menos teórica. Ciberdelincuentes scan portos de todo o mundo para atopar formas de explotalos. Os investigadores de seguridade observaron centos de miles de ataques.
Nos últimos días, Check Point Software recoñeceu 470,000 intentos de facelo scan redes corporativas en todo o mundo. O scans realízanse, entre outras cousas, para buscar servidores que permitan solicitudes HTTP externas. Estes servidores son propensos a explotar a infame vulnerabilidade da biblioteca Java Log4j. Se un servidor permite solicitudes HTTP, un atacante pode facer ping ao servidor cunha única liña que apunte a un servidor remoto con instrucións de Java para a execución de malware. Se o servidor de ping está conectado a unha aplicación Java que procesa Log4j, a aplicación Java procesa a liña como un comando para executar o malware. Na parte inferior da liña, o servidor da vítima executa o que ordena un atacante. A organización de seguridade Sophos di que identificou centos de miles de ataques.
Caras coñecidas
Anteriormente escribimos un artigo esclarecedor sobre o funcionamento técnico da vulnerabilidade mencionado anteriormente en Log4j. A maior condición previa para o abuso é a posibilidade de chegar ás aplicacións Java que incorporan Log4j. Nalgúns casos isto é un xogo de nenos. Por exemplo, Apple utilizou iCloud Log4j para gravar os nomes dos iPhones. Ao cambiar o nome do modelo dun iPhone en iOS por unha instrución para Java, resultou ser posible crackear os servidores de Apple.
Noutros casos, as aplicacións son menos fáciles de influír. A maior ameaza provén de atacantes con experiencia, coñecementos e técnicas existentes. Os investigadores de seguridade de Netlab360 configuraron dous sistemas de señuelo (honeypots, ed.) para invitar a ataques a aplicacións Java con Log4j. Así, os investigadores atraeron nove novas variacións de tipos de malware coñecidos, incluíndo MIRAI e Muhstik. As cepas de malware están deseñadas para abusar de Log4j. Un obxectivo de ataque común é o reforzo das redes de bots para a minería criptográfica e os ataques DDoS. Check Point Software realizou unha enquisa similar a maior escala. Nos últimos días, a organización de seguridade rexistrou 846,000 ataques.
defensa
É obvio que os cibercriminais buscan e explotan versións vulnerables de Log4j. A defensa máis recomendable é e segue sendo inventariar todas as aplicacións Log4j nun ambiente. Se o provedor da aplicación na que se usa Log4j lanzou unha versión actualizada, recoméndase o parche. Se non, desactivar é a opción máis segura. O NCSC mantén unha visión xeral da vulnerabilidade do software no que se procesa Log4j.
Actualmente é todo menos recomendable desenvolver as súas propias medidas de software ou axustar o funcionamento de Log4j. A vulnerabilidade ten variacións. Microsoft, entre outros, detectou varias variantes da regra utilizada para instruír ás aplicacións Java a executar malware. Check Point fala de máis de 60 mutacións.