Sophos alerta de una grave vulnerabilidad en un sistema de registros ampliamente utilizado por los desarrolladores de aplicaciones web y servidores basados en Java, lo que está poniendo en riesgo a un número incalculable de empresas a posibles ciberataques de código remoto y la exposición de su información.
Tras la notificación de la vulnerabilidad de Apache Log4Shell, Sophos proporciona ahora nueva información sobre cómo los ciberatacantes están explorando o intentando explotar los sistemas sin parchear. Los nuevos descubrimientos se detallan en el artículo Log4Shell Hell: Anatomy of an Exploit Outbreak, que recoge:
- Rápido aumento de los ataques que explotan o intentan explotar esta vulnerabilidad, con cientos de miles de intentos detectados hasta ahora
- Las redes de bots de criptominería están siendo los primeros en explotar esta vulnerabilidad. Estas redes de bots se centran en plataformas de servidores Linux, que están especialmente expuestas a esta vulnerabilidad.
- Intentos para extraer información de diversos servicios, entre los que se incluyen claves de Amazon Web Services y otros datos privados
- Los intentos de atacar los servicios de red empiezan probando diferentes vías. Alrededor del 90% de los intentos detectados se centraban en el Protocolo Ligero de Acceso a Directorios (LDAP). Un número menor de intentos se ha dirigido a la Interfaz Remota de Java (RMI), aunque los investigadores han detectado que parece haber una mayor variedad de intentos relacionados únicamente con RMI.
- Se espera que los atacantes intensifiquen y diversifiquen sus métodos de ataque y sus motivaciones en los próximos días y semanas, sin descartar la posibilidad de que aprovechen ataques de ransomware.
Según indica Sean Gallagher, investigador senior de amenazas de Sophos, y autor del artículo:
«Desde el 9 de diciembre, Sophos ha detectado cientos de miles de intentos de ejecutar código de forma remota utilizando la vulnerabilidad Log4Shell. Inicialmente, se trataba de pruebas de penetración a través de Pruebas de Concepto (PoC), llevadas a cabo por investigadores de seguridad y atacantes potenciales, entre otros, además de muchos escaneos online de la vulnerabilidad. A esta primera fase le siguieron rápidamente los intentos de instalar mineros de criptomonedas, incluyendo la red de bots mineros Kinsing. La información más reciente sugiere que los atacantes están tratando de explotar la vulnerabilidad para exponer las claves utilizadas por las cuentas de Amazon Web Service. También hay indicios de que los atacantes intentan aprovechar la vulnerabilidad para instalar herramientas de acceso remoto en las redes de las víctimas, posiblemente Cobalt Strike, una herramienta clave en muchos ataques de ransomware”
«La vulnerabilidad Log4Shell presenta un desafío nunca antes visto para los defensores. Muchas vulnerabilidades de software se limitan a un producto o plataforma específica, como las vulnerabilidades ProxyLogon y ProxyShell en Microsoft Exchange. Esto permite a los responsables de seguridad comprobar sus software y parchearlos una vez que han detectado cuál ha sufrido la vulnerabilidad. Sin embargo, Log4Shell es una biblioteca que utilizan muchos productos. Por lo tanto, puede estar presente en los rincones más oscuros de la infraestructura de una empresa, por ejemplo, en cualquier software desarrollado internamente. Encontrar todos los sistemas que son vulnerables a causa de Log4Shell debería ser una prioridad para la ciberseguridad ahora mismo”.
«Según las previsiones de Sophos, la velocidad con la que los atacantes están aprovechando y utilizando esta vulnerabilidad no hará sino intensificarse y diversificarse en los próximos días y semanas. Una vez que un atacante se ha asegurado el acceso a una red, puede lanzar cualquier tipo de ataque. Por lo tanto, junto con la actualización de software ya lanzada por Apache para Log4j 2.15.0, los equipos de seguridad deben hacer una revisión exhaustiva de la actividad en la red para detectar y eliminar cualquier rastro de intrusos, incluso si solo parece un incómodo commodity malware”.
Me interesa
- 5 claves para proteger los dispositivos corporativos y personales frente a los ciberataques
- Las 5 verdades del ransomware que actualmente desconocen las empresas españolas
- Cómo proteger los dispositivos móviles en tu empresa
- Cómo mantener seguros los datos de tu empresa
- Robo de identidad empresarial: que es y como prevenirlo
