Meses después de que se revelara una vulnerabilidad crítica de día cero en la biblioteca de registro de Java ampliamente utilizada Apache Log4j, una cantidad significativa de aplicaciones y servidores aún son vulnerables a los ataques cibernéticos porque no se han aplicado parches de seguridad.
Detallada por primera vez en diciembre, la vulnerabilidad (CVE-2021-44228) permite a los atacantes ejecutar código de forma remota y obtener acceso a sistemas que usan Log4j.
La vulnerabilidad no solo es relativamente fácil de aprovechar, sino que la naturaleza ubicua de Log4j significa que está integrada en una amplia gama de aplicaciones, servicios y herramientas de software empresarial que están escritas en Java y que utilizan organizaciones e individuos de todo el mundo.
VER: Google: Múltiples grupos de piratería están utilizando la guerra en Ucrania como señuelo en intentos de phishing
Es por eso que la directora de la agencia estadounidense de ciberseguridad e infraestructura CISA, Jen Easterly, describió la vulnerabilidad como «una de las más graves que he visto en toda mi carrera, si no la más grave».
Pero a pesar de las advertencias críticas sobre la vulnerabilidad, todavía hay una gran cantidad de instancias de Log4j que aún no se han parcheado y aún están expuestas a ataques cibernéticos.
Según los investigadores de la empresa de ciberseguridad Rezilion, hay más de 90 000 aplicaciones vulnerables orientadas a Internet y más de 68 000 servidores que aún están expuestos públicamente.
Las instancias expuestas se descubrieron al ejecutar búsquedas a través del motor de búsqueda de Internet de las cosas (IoT) Shodan, y los investigadores advierten que lo que se descubrió probablemente sea «solo la punta del iceberg» en términos de la superficie de ataque vulnerable real.
Las vulnerabilidades de Log4j dejan a las organizaciones expuestas a varios ciberataques de ciberdelincuentes que pueden escanear fácilmente en busca de instancias vulnerables para explotar. No mucho después de que se revelara Log4j, se intentaron implementar ransomware y malware de criptominería en servidores vulnerables.
También se han detectado grupos de piratería patrocinados por el estado que intentan aprovechar las vulnerabilidades de Log4j. Estos incluyen los grupos de espionaje patrocinados por el estado chino Hafnium y APT41, así como los grupos de piratería respaldados por Irán APT35 y Tunnel Vision.
Si bien es probable que los grupos de piratas informáticos patrocinados por el estado tengan mucho dinero y abundantes recursos, la capacidad de explotar vulnerabilidades comunes es particularmente útil ya que es menos probable que los ataques dejen rastros que puedan estar vinculados a un grupo de piratas informáticos específico.
Una de las razones por las que las vulnerabilidades de Log4j aún persisten es porque la falla podría estar profundamente arraigada en las aplicaciones, hasta el punto de que ni siquiera está claro que la biblioteca de registro de Java sea parte de ese sistema.
VER: La botnet Emotet está de regreso y tiene nuevos trucos para propagar malware
Pero hay pasos que pueden, y deben, tomarse para garantizar que la red esté protegida contra ataques que intentan explotar Log4j, el más importante de los cuales es identificar y parchear instancias inseguras de Log4j. La red también debe examinarse periódicamente para ayudar a identificar posibles vulnerabilidades.
«Necesita tener procesos implementados que monitoreen continuamente su entorno en busca de vulnerabilidades críticas con énfasis en el código de terceros», dice el informe.
Si se identifica un activo vulnerable de Log4j, se recomienda que los equipos de seguridad de la información actúen sobre la base de que el sistema se ha visto comprometido, para buscar signos de posible actividad maliciosa y prepararse para tomar medidas.