Actualización de Log4j: los expertos dicen que los exploits de log4shell persistirán durante ‘meses, si no años’

Actualizacion de Log4j los expertos dicen que los exploits de

Los expertos en ciberseguridad creen que CVE-2021-44228, una falla de ejecución remota de código en Log4j, tardará meses, si no años, en solucionarse debido a su ubicuidad y facilidad de explotación.

Steve Povolny, jefe de investigación de amenazas avanzadas de McAfee Enterprise y FireEye, dijo que Log4Shell «ahora pertenece firmemente a la misma conversación que Shellshock, Heartbleed y EternalBlue».

«Los atacantes comenzaron casi de inmediato aprovechando el error para la criptominería ilegal, o usando recursos informáticos legítimos en Internet para generar criptomonedas para obtener ganancias financieras… La explotación adicional parece haber girado hacia el robo de información privada», dijo Povolny a MarketingyPublicidad.es.

«Esperamos ver una evolución de los ataques».


También: Defecto de día cero de Log4j: lo que necesita saber y cómo protegerse


Povolny agregó que el impacto de la vulnerabilidad podría ser enorme porque es «gusano y podría construirse para propagarse». Incluso con un parche disponible, hay docenas de versiones del componente vulnerable.

Debido a la gran cantidad de ataques observados ya, Povolny dijo que era «seguro asumir que muchas organizaciones ya han sido violadas» y deberán tomar medidas de respuesta a incidentes.

«Creemos que las vulnerabilidades de log4shell persistirán durante meses, si no años, con una disminución significativa en los próximos días y semanas a medida que se implementen cada vez más parches», dijo Povolny.

Desde el 9 de diciembre, el investigador principal de amenazas de Sophos, Sean Gallagher, dijo que los ataques que utilizan la vulnerabilidad evolucionaron desde intentos de instalar mineros de monedas, incluido el botnet minero Kinsing, hasta esfuerzos más sofisticados.

«La inteligencia más reciente sugiere que los atacantes están tratando de explotar la vulnerabilidad para exponer las claves utilizadas por las cuentas de Amazon Web Service. También hay señales de atacantes que intentan aprovechar la vulnerabilidad para instalar herramientas de acceso remoto en las redes de las víctimas, posiblemente Cobalt Strike, una clave herramienta en muchos ataques de ransomware», dijo Gallagher.

Paul Ducklin, científico investigador principal de Sophos, agregó que las tecnologías, incluidos IPS, WAF y el filtrado inteligente de redes, están «ayudando a controlar esta vulnerabilidad global».

«La mejor respuesta es perfectamente clara: parchear o mitigar sus propios sistemas ahora mismo», dijo Ducklin.

El Dr. Richard Ford, CTO de Praetorian, explicó que debido a que la explotación de la vulnerabilidad a menudo no requiere autenticación o acceso especial, ha expuesto una increíble variedad de sistemas.

«Incluso hay informes no confirmados de que simplemente cambiar el nombre de su teléfono a una cadena en particular puede explotar algunos sistemas en línea», dijo Ford.

Ford y los ingenieros de su compañía dijeron que es «una de las mayores exposiciones [they] he visto a escala de Internet».


También: La actividad de Log4j RCE comenzó el 1 de diciembre cuando las botnets comenzaron a usar la vulnerabilidad


Otros expertos que pasaron el fin de semana observando la vulnerabilidad dijeron que los piratas informáticos se pusieron a trabajar casi de inmediato para explotar la falla. Chris Evans, CISO de HackerOne, dijo que recibieron 692 informes sobre Log4j para 249 programas de clientes, y señaló que las principales empresas como Apple, Amazon, Twitter y Cloudflare confirmaron que eran vulnerables.

«Esta vulnerabilidad da miedo por varias razones: en primer lugar, es muy fácil de explotar; todo lo que el atacante tiene que hacer es pegar un texto especial en varias partes de una aplicación y esperar los resultados. En segundo lugar, es difícil saber qué es y no se ve afectada; la vulnerabilidad se encuentra en una biblioteca central que se incluye con muchos otros paquetes de software, lo que también complica la reparación. En tercer lugar, es probable que muchos de sus proveedores externos se vean afectados», dijo Evans.

El CTO de Imperva, Kunal Anand, dijo que desde que implementó las reglas de seguridad actualizadas hace más de 13 horas, la compañía observó más de 1,4 millones de ataques dirigidos a CVE-2021-44228.

«Hemos observado picos que alcanzan aproximadamente los 280 000 ataques por hora. Al igual que con otros CVE de su clase, esperamos ver crecer este número, especialmente a medida que se crean y descubren nuevas variantes en los próximos días y semanas», dijo Anand.

Deja un comentario