Log4Shell, el error crítico en el proyecto Log4j ampliamente utilizado de Apache, no ha desencadenado el desastre que se temía, pero aún está siendo explotado y predominantemente desde computadoras en la nube en los EE. UU.
La vulnerabilidad de Log4Shell salió a la luz en diciembre y despertó la preocupación de que los atacantes la explotaran porque era relativamente fácil de hacer y porque la biblioteca de registro de la aplicación Java está integrada en muchos servicios diferentes.
Microsoft ha observado que Log4Shell se usa en ataques criminales y patrocinados por el estado, pero al principio descubrió que se usaba principalmente para la minería de monedas y el ransomware. Aconsejó a los clientes que «supongan que la amplia disponibilidad de código de explotación y las capacidades de escaneo son un peligro real y presente para sus entornos».
VER: Los ataques de malware de Linux van en aumento y las empresas no están preparadas para ello
La Agencia de Seguridad de Infraestructura y Ciberseguridad advirtió que, si bien no había visto ninguna violación importante debido al flujo, los atacantes podrían estar esperando para usar el acceso obtenido a través de Log4Shell hasta que bajen los niveles de alerta. Oracle, Cisco, IBM y VMware han pasado los últimos dos meses lanzando parches para el software afectado.
Barracuda Networks, un fabricante de dispositivos de seguridad de red, ha dicho ahora que los ataques de Log4Shell están ocurriendo a niveles constantes. Sin embargo, no ha encontrado evidencia de una avalancha de ataques.
«La mayoría de los ataques provinieron de direcciones IP en los EE. UU., con la mitad de esas direcciones IP asociadas con AWS, Azure y otros centros de datos. Los ataques también se enviaron desde Japón, Alemania, Países Bajos y Rusia», señala.
Agrega que estas direcciones IP están vinculadas a escaneos e intentos de intrusión, lo que significa que los escaneos podrían ser de investigadores o atacantes.
Las cargas útiles van desde memes triviales de Internet hasta la categoría algo más seria de malware de criptominería que utiliza el hardware de otra persona para resolver ecuaciones que le otorgan criptografía al atacante, como Monero.
Uno, por ejemplo, intenta entregar una «carga útil relativamente benigna (o dependiendo de su punto de vista, muy molesta)» en forma de un video de YouTube que reproduce «Never Gonna Give You Up» de Rick Astley.
«Me pregunto si alguien realmente fue Rick-Rolled por este. Es, como se señaló anteriormente, una carga útil benigna en mi opinión, ¡pero uno que te hará parchear muy rápidamente!» dice Tushar Richabadas de Baracuda.
Otro malware notable que informa que se usa en conexión con Log4Shell incluye el malware de denegación de servicio distribuido (DDoS) llamado BillGates. Es una pieza antigua de malware que no tiene conexión con el cofundador de Microsoft y que apunta a máquinas Linux. Log4Shell también se ha utilizado para implementar el malware Mirai DDoS, que a menudo se usa en conflictos entre jugadores en línea.
Barracuda también ha visto que Log4Shell se usa para implementar criptomineros Kinsing y XMRig, así como el malware Muhstik DDoS.
En general, el informe de Barracuda sugiere que no hay cambios en el nivel de amenaza de Log4Shell en comparación con el caso de enero.
