Categories: Seguridad

La vulnerabilidad de Apache Log4j desata el miedo por una ciberpandemia

Una vulnerabilidad en el sistema de registro de Apache Log4j tiene a la industria de seguridad y a la comunidad empresarial en vilo. Bautizada como “Log4Shell“, esta vulnerabilidad está siendo explotada de forma masiva y podría acabar convirtiéndose en toda una pandemia digital.

Desde el pasado fin de semana, los ciberdelincuentes no han dejado de atacar sistemas sin parchear. Los expertos han detectado cientos de miles de intentos de infección con diferentes técnicas y finalidades.

Además, se han ido sucediendo variaciones del exploit original. Check Point ha registrado más de 60 en menos de 24 horas. Esta firma de seguridad ha observado intentos de explotación en más del 40 % de las redes corporativas.

Mientras, Sophos desvela que 9 de cada 10 tentativas se han centrado en el Protocolo Ligero de Acceso a Directorios (LDAP). Las que se han dirigido a la Interfaz Remota de Java (RMI) son las menos.

La situación es grave porque Log4j es muy popular. En su proyecto GitHub ha superado las 400 000 descargas.

Como biblioteca de registro Java más popular del momento, está presente en millones de aplicaciones web y servidores alrededor del mundo. Esto incluye desde software corporativo poco conocido hasta otro profusamente utilizado. La biblioteca Log4j está integrada en casi todos los servicios populares de internet, como Twitter, Amazon, Microsoft y Minecraft. Ni empresa como IBM, Red Hat y Cisco se libran.

Por tanto, el fallo de seguridad está poniendo en riesgo a un número altísimo de empresas, que corren el riesgo de ver expuesta su información.

Ya se han detectado ataques para instalar mineros de monedas digitales, exponer claves de cuentas online o desplegar campañas de ransomware. Un aprovechamiento exitoso puede suponer la ejecución remota de código, la descarga de malware y el ataque final.

“Desde el 9 de diciembre”, especifica Sean Gallagher, investigador sénior de amenazas de Sophos”, han sido “cientos de miles” los movimientos para ejecutar código de forma remota”.

“Inicialmente, se trataba de pruebas de penetración a través de Pruebas de Concepto (PoC), llevadas a cabo por investigadores de seguridad y atacantes potenciales, entre otros, además de muchos escaneos online de la vulnerabilidad”, relata este experto.

“A esta primera fase le siguieron rápidamente los intentos de instalar mineros de criptomonedas”, a través de máquinas Linux, “incluyendo la red de bots mineros Kinsing”, prosigue. Y “la información más reciente sugiere que los atacantes están tratando de explotar la vulnerabilidad para exponer las claves utilizadas por las cuentas de Amazon Web Service. También hay indicios de que los atacantes intentan aprovechar la vulnerabilidad para instalar herramientas de acceso remoto en las redes de las víctimas, posiblemente Cobalt Strike, una herramienta clave en muchos ataques de ransomware”.

El fallo ha sido calificado con un 10 de 10 en el sistema de puntuación CVSS. Se trata de una vulnerabilidad crítica localizada concretamente en las versiones 2.14.1 e inferiores de Apache Log4j.

Esta vulnerabilidad presente para Sean Gallagher “un desafío nunca antes visto para los defensores. Muchas vulnerabilidades de software se limitan a un producto o plataforma específica”, explica, lo que “permite a los responsables de seguridad comprobar sus software y parchearlos una vez que han detectado cuál ha sufrido la vulnerabilidad. Sin embargo, Log4Shell es una biblioteca que utilizan muchos productos. Por lo tanto, puede estar presente en los rincones más oscuros de la infraestructura de una empresa, por ejemplo, en cualquier software desarrollado internamente”.

“Encontrar todos los sistemas que son vulnerables a causa de Log4Shell debería ser una prioridad para la ciberseguridad ahora mismo”, advierten desde Sophos, que prevé que “la velocidad con la que los atacantes están aprovechando y utilizando esta vulnerabilidad no hará sino intensificarse y diversificarse en los próximos días y semanas”.

“Una vez que un atacante se ha asegurado el acceso a una red, puede lanzar cualquier tipo de ataque”, alertan. “Por lo tanto, junto con la actualización de software ya lanzada por Apache para Log4j 2.15.0, los equipos de seguridad deben hacer una revisión exhaustiva de la actividad en la red para detectar y eliminar cualquier rastro de intrusos, incluso si sólo parece un incómodo commodity malware”

Apache ha publicado un parche (Log4j 2.15.0) para mitigar un agujero de seguridad que ya está considerado uno de los más graves de los últimos años. Todos los usuarios deberían actualizarse en consecuencia.

No en vano, parece relativamente sencillo explotar el fallo subyacente, tanto como escribir un mensaje en un cuadro de chat.

Y, aunque la mayoría de los ataques actuales se están centrando en la criptominería, no se descarta que los ciberdelincuentes acaben apuntando a objetivos más altos. Por ejemplo, explotando HTTPS.

“Es muy importante destacar la gravedad de esta amenaza”, apunta Lotem Finkelstein, director de inteligencia de amenazas e investigación de Check Point Software Technologies. “Creemos que crea el tipo de ruido de fondo que los ciberdelincuentes tratarán de aprovechar para atacar toda una serie de objetivos de alto valor, como los bancos, la protección del Estado y las infraestructuras críticas”.

“Lo más preocupante es el hecho de que casi la mitad de esos intentos fueron realizados por grupos maliciosos conocidos”, opina Finkelstein.

“Los equipos de seguridad deben actuar con la máxima urgencia, ya que el potencial de daño es incalculable”, añade. “La necesidad de una respuesta rápida se ve acentuada por el hecho de que se descubrió al final de la semana laboral, en el período previo a la temporada de vacaciones, cuando los técnicos pueden ser más lentos en la aplicación de medidas de protección”.

La alarma ahora está sobre una posible “ciberpandemia”, “muy contagiosa”, con múltiples variantes y capaz de propagarse “rápidamente, por lo que es esencial una vigilancia constante y una estrategia de prevención sólida”. Check Point cree que, por su complejidad, Log4Shell permanecerá activo durante años, “a menos que las empresas y los servicios tomen medidas inmediatas”.

Los expertos recomiendan una estrategia seguridad de varias capas. Entre los consejos lanzados por empresas como Trend Micro se encuentra un protocolo pautado que empiece por localizar dónde se ejecuta Log4j y aplicar inmediatamente los parches proporcionados por los fabricantes, así como las mitigaciones del proveedor.

Otros pasos son enumerar todos los dispositivos donde está instalado el software, de cara al exterior, asegurarse de que los equipos SecOps actúan sobre todas las alertas publicadas y, a mayores, instalar un firewall app web con reglas que se actualicen automáticamente.

Mónica Tilves

Licenciada en Xornalismo por la Universidad de Santiago de Compostela en la especialidad de Periodismo Electrónico y Multimedia. Apasionada de los gadgets, la fotografía digital, el diseño web y el arte. Tras un primer contacto con el mundo de la prensa escrita y con la suficiencia investigadora debajo del brazo, me decanto por los medios online. Cubro la actualidad informativa en Silicon Week desde 2011, además de colaborar en otras publicaciones del grupo NetMediaEurope en España como Silicon News. Ahora en Silicon.es.

Recent Posts

Trabajo híbrido para combatir el cansancio

La mayoría de los profesionales consultados aseguran que han conseguido mejorar su salud física, además…

9 horas ago

Hay botnets a la venta en la dark web por 99 dólares

También están disponibles para alquiler por 30-4.800 dólares al mes, según datos de Kaspersky, que…

10 horas ago

AWS y Workday estrechan lazos

Juntas desarrollarán capacidades de inteligencia artificial generativa con las que respaldar al segmento empresarial.

11 horas ago

Zoom reduce las tareas rutinarias con Workflow Automation

Esta herramienta está pensada para construir flujos de trabajo sin necesidad de código.

11 horas ago

Estafadores aprovechan intento de asesinato a Trump para lanzar campañas de deepfake y estafas de criptomonedas

Los ciberdelincuentes usan deepfakes de Elon Musk y eventos actuales para estafar con criptomonedas, según…

12 horas ago

El fallo de CrowdStrike afectó a 8,5 millones de dispositivos Windows

Desde el proveedor de ciberseguridad afirman que "un número significativo está nuevamente online y operativo".

12 horas ago