Log4Shell: atacantes están explotando una vulnerabilidad
Investigadores de ESET, compañía líder en detección proactiva de amenazas, advierten sobre una vulnerabilidad crítica en una librería de Apache llamada Log4j que está siendo utilizada por cibercriminales a nivel mundial para distribuir malware. Log4j es una librería de registro de logs basada en Java que es ampliamente utilizada por muchos productos, servicios y componentes de Java.
Se trata de una vulnerabilidad de ejecución remota de código (RCE, por sus siglas en inglés) descubierta por el equipo de Alibaba Cloud en noviembre y que fue parcheada en diciembre con una actualización de Log4j. Sin embargo, el viernes pasado se publicó un exploit para Log4Shell que permite a un atacante ejecutar el código de su elección en un servidor afectado.
Si el adversario obtiene acceso a la red local, incluso si los sistemas internos no están expuestos a Internet, la misma puede ser explotada. En última instancia, una vulnerabilidad de RCE significa que un atacante no necesita tener acceso físico para ejecutar código arbitrario que podría conducir a un control completo sobre los sistemas afectados y al robo de datos confidenciales. Esto incluye tanto servidores Linux como Windows.
Según los expertos, la vulnerabilidad es de fácil explotación y tiene impacto en la configuración por defecto de varios frameworks de Apache. Actores maliciosos ya comenzaron a escanear la red en busca de servidores vulnerables para explotar el fallo (o utilizarlos en futuros ataques) y realizar acciones maliciosas como instalar malware, exfiltrar datos o tomar el control del servidor. Se debe aclarar que, con el lanzamiento de la última actualización, esta función ya no está habilitada por defecto.
A continuación, ESET comparte un mapa con los países en los cuales se han detectado intentos de explotar esta vulnerabilidad Log4j:
Roman Kováč, Chief Research Officer de ESET, comentó sobre estos descubrimientos: «El volumen de nuestras detecciones confirma que es un problema a gran escala que no desaparecerá pronto. Efectivamente, los atacantes están probando muchas variantes de explotación, pero no todos los intentos son necesariamente maliciosos. Algunos pueden ser incluso benignos, considerando que investigadores y compañías de seguridad también se encuentran realizando pruebas».
Más allá de la severidad de la vulnerabilidad, que recibió un puntaje de 10 sobre 10 en la escala de CVSS, el hecho de que es una librería utilizada por miles de aplicaciones, plataformas de comercio electrónico, videojuegos y sitios web genera preocupación.
De hecho, según publicó BleepingComputer, ya se detectaron ataques distribuyendo distintos mineros de criptomonedas, como Kinsing, así como los códigos maliciosos Mirai y Muhstik. Los operadores detrás de estas dos botnets buscan comprometer dispositivos IoT y servidores para sumarlos a su red de equipos bajo su control para distribuir malware para minar criptomonedas y llevar adelante ataques de DDoS. Si bien hasta este momento no se ha detectado la explotación de esta vulnerabilidad para distribuir ransomware, no sería extraño que esto suceda.
Dada la severidad de la vulnerabilidad y su impacto, se urge instalar lo antes posible la última versión de Log4j para mitigar esta vulnerabilidad o hacer los ajustes correspondientes en la configuración.
Desde ESET se ha publicado el siguiente artículo sobre Log4Shell que incluye pasos para la mitigación, cómo detectar la presencia de Log4j en Linux y Windows y cómo detectar también los intentos de explotación de esta vulnerabilidad.