La vulnerabilidad de Apache Log4j desata el miedo por una ciberpandemia
Los expertos han detectado cientos de miles de intentos de infección en torno a este fallo de seguridad, con finalidades como la criptominería, el robo de claves y la descarga de ransomware.
Una vulnerabilidad en el sistema de registro de Apache Log4j tiene a la industria de seguridad y a la comunidad empresarial en vilo. Bautizada como “Log4Shell“, esta vulnerabilidad está siendo explotada de forma masiva y podría acabar convirtiéndose en toda una pandemia digital.
Desde el pasado fin de semana, los ciberdelincuentes no han dejado de atacar sistemas sin parchear. Los expertos han detectado cientos de miles de intentos de infección con diferentes técnicas y finalidades.
Además, se han ido sucediendo variaciones del exploit original. Check Point ha registrado más de 60 en menos de 24 horas. Esta firma de seguridad ha observado intentos de explotación en más del 40 % de las redes corporativas.
Mientras, Sophos desvela que 9 de cada 10 tentativas se han centrado en el Protocolo Ligero de Acceso a Directorios (LDAP). Las que se han dirigido a la Interfaz Remota de Java (RMI) son las menos.
La situación es grave porque Log4j es muy popular. En su proyecto GitHub ha superado las 400 000 descargas.
Como biblioteca de registro Java más popular del momento, está presente en millones de aplicaciones web y servidores alrededor del mundo. Esto incluye desde software corporativo poco conocido hasta otro profusamente utilizado. La biblioteca Log4j está integrada en casi todos los servicios populares de internet, como Twitter, Amazon, Microsoft y Minecraft. Ni empresa como IBM, Red Hat y Cisco se libran.
Por tanto, el fallo de seguridad está poniendo en riesgo a un número altísimo de empresas, que corren el riesgo de ver expuesta su información.
Ya se han detectado ataques para instalar mineros de monedas digitales, exponer claves de cuentas online o desplegar campañas de ransomware. Un aprovechamiento exitoso puede suponer la ejecución remota de código, la descarga de malware y el ataque final.
“Desde el 9 de diciembre”, especifica Sean Gallagher, investigador sénior de amenazas de Sophos”, han sido “cientos de miles” los movimientos para ejecutar código de forma remota”.
“Inicialmente, se trataba de pruebas de penetración a través de Pruebas de Concepto (PoC), llevadas a cabo por investigadores de seguridad y atacantes potenciales, entre otros, además de muchos escaneos online de la vulnerabilidad”, relata este experto.
“A esta primera fase le siguieron rápidamente los intentos de instalar mineros de criptomonedas”, a través de máquinas Linux, “incluyendo la red de bots mineros Kinsing”, prosigue. Y “la información más reciente sugiere que los atacantes están tratando de explotar la vulnerabilidad para exponer las claves utilizadas por las cuentas de Amazon Web Service. También hay indicios de que los atacantes intentan aprovechar la vulnerabilidad para instalar herramientas de acceso remoto en las redes de las víctimas, posiblemente Cobalt Strike, una herramienta clave en muchos ataques de ransomware”.
El fallo ha sido calificado con un 10 de 10 en el sistema de puntuación CVSS. Se trata de una vulnerabilidad crítica localizada concretamente en las versiones 2.14.1 e inferiores de Apache Log4j.
Esta vulnerabilidad presente para Sean Gallagher “un desafío nunca antes visto para los defensores. Muchas vulnerabilidades de software se limitan a un producto o plataforma específica”, explica, lo que “permite a los responsables de seguridad comprobar sus software y parchearlos una vez que han detectado cuál ha sufrido la vulnerabilidad. Sin embargo, Log4Shell es una biblioteca que utilizan muchos productos. Por lo tanto, puede estar presente en los rincones más oscuros de la infraestructura de una empresa, por ejemplo, en cualquier software desarrollado internamente”.
“Encontrar todos los sistemas que son vulnerables a causa de Log4Shell debería ser una prioridad para la ciberseguridad ahora mismo”, advierten desde Sophos, que prevé que “la velocidad con la que los atacantes están aprovechando y utilizando esta vulnerabilidad no hará sino intensificarse y diversificarse en los próximos días y semanas”.
“Una vez que un atacante se ha asegurado el acceso a una red, puede lanzar cualquier tipo de ataque”, alertan. “Por lo tanto, junto con la actualización de software ya lanzada por Apache para Log4j 2.15.0, los equipos de seguridad deben hacer una revisión exhaustiva de la actividad en la red para detectar y eliminar cualquier rastro de intrusos, incluso si sólo parece un incómodo commodity malware”
Apache ha publicado un parche (Log4j 2.15.0) para mitigar un agujero de seguridad que ya está considerado uno de los más graves de los últimos años. Todos los usuarios deberían actualizarse en consecuencia.
No en vano, parece relativamente sencillo explotar el fallo subyacente, tanto como escribir un mensaje en un cuadro de chat.
Y, aunque la mayoría de los ataques actuales se están centrando en la criptominería, no se descarta que los ciberdelincuentes acaben apuntando a objetivos más altos. Por ejemplo, explotando HTTPS.
“Es muy importante destacar la gravedad de esta amenaza”, apunta Lotem Finkelstein, director de inteligencia de amenazas e investigación de Check Point Software Technologies. “Creemos que crea el tipo de ruido de fondo que los ciberdelincuentes tratarán de aprovechar para atacar toda una serie de objetivos de alto valor, como los bancos, la protección del Estado y las infraestructuras críticas”.
“Lo más preocupante es el hecho de que casi la mitad de esos intentos fueron realizados por grupos maliciosos conocidos”, opina Finkelstein.
“Los equipos de seguridad deben actuar con la máxima urgencia, ya que el potencial de daño es incalculable”, añade. “La necesidad de una respuesta rápida se ve acentuada por el hecho de que se descubrió al final de la semana laboral, en el período previo a la temporada de vacaciones, cuando los técnicos pueden ser más lentos en la aplicación de medidas de protección”.
La alarma ahora está sobre una posible “ciberpandemia”, “muy contagiosa”, con múltiples variantes y capaz de propagarse “rápidamente, por lo que es esencial una vigilancia constante y una estrategia de prevención sólida”. Check Point cree que, por su complejidad, Log4Shell permanecerá activo durante años, “a menos que las empresas y los servicios tomen medidas inmediatas”.
Los expertos recomiendan una estrategia seguridad de varias capas. Entre los consejos lanzados por empresas como Trend Micro se encuentra un protocolo pautado que empiece por localizar dónde se ejecuta Log4j y aplicar inmediatamente los parches proporcionados por los fabricantes, así como las mitigaciones del proveedor.
Otros pasos son enumerar todos los dispositivos donde está instalado el software, de cara al exterior, asegurarse de que los equipos SecOps actúan sobre todas las alertas publicadas y, a mayores, instalar un firewall app web con reglas que se actualicen automáticamente.