A medida que continúan las consecuencias de la vulnerabilidad Log4j, los expertos en seguridad cibernética debaten lo que podría deparar el futuro.
Tom Kellermann, jefe de estrategia de seguridad cibernética de VMware, dijo que la vulnerabilidad Log4j es una de las peores vulnerabilidades que ha visto en su carrera, y una de las vulnerabilidades más importantes jamás expuestas.
Log4j, una biblioteca de Java para registrar mensajes de error en aplicaciones, fue desarrollada por Apache Software Foundation. Kellermann llamó a Apache «uno de los soportes gigantes del puente entre las aplicaciones del mundo y los entornos informáticos», y agregó que la explotación de Log4j «desestabilizará ese soporte y… desestabilizará la infraestructura digital que se ha construido sobre él».
Pero su mayor preocupación es que alguien amplíe aún más la vulnerabilidad mediante la creación de un gusano, que Kellermann describió como un tipo de malware polimórfico que esencialmente puede propagarse por sí solo.
«Uno de los más significativos [worms] de principios de la década de 2000 fue Code Red», dijo Kellermann MarketingyPublicidad.es. «No hemos visto un impacto global generalizado como ese desde entonces. Si esta vulnerabilidad fuera armada por una de las comunidades cibernéticas, ya sean servicios de inteligencia, uno de los cuatro principales poderes cibernéticos o uno de los grandes cárteles de ciberdelincuencia; ahí es cuando las cosas se pondrán más interesantes».
La posibilidad de un gusano ha generado una conversación significativa en la comunidad de ciberseguridad. El experto en ciberseguridad Marcus Hutchins calificó los temores de un gusano como «exagerados» en múltiples hilos de Twitter.
«En primer lugar, ya existe una explotación masiva (puede rociar todo Internet desde un servidor). En segundo lugar, los gusanos requieren tiempo y habilidad para desarrollarse, pero la mayoría de los atacantes están compitiendo contra el reloj (parches y otros atacantes)», escribió Hutchins en Twitter.
Agregó que «un gusano necesitaría una técnica de explotación novedosa para obtener un valor real sobre el escaneo».
En otro hiloHutchins escribió que el ataque de ransomware WannaCry de 2017 «le dio a la gente un sentido exagerado de la amenaza que representan los gusanos», y agregó que los gusanos «no son el peor de los casos (o incluso el peor de los casos) para la mayoría de los exploits».
«No se trata de que haya un exploit, por lo que habrá un gusano (nunca vimos gusanos para ninguno de los RCE con gusanos recientes e incluso si los tuviéramos, no sería peor que la explotación regular). WannaCry fue escrito por Corea del Norte, utilizando un exploit de la NSA, robado por Rusia. No es la norma», explicó Hutchins.
Steve Povolny, jefe de investigación de amenazas avanzadas de McAfee Enterprise y FireEye, dijo MarketingyPublicidad.es que su mayor preocupación es la «gusanidad», y agregó que no podía «pensar en un escenario peor para las vulnerabilidades de Log4j que el código malicioso que puede replicarse y propagarse a una velocidad increíble, entregando cargas útiles de ransomware».
Povolny dijo que gusanos como WannaCry demostraron el tipo de impacto que los expertos en seguridad cibernética podrían esperar, y señaló que incluso el ejemplo de WannaCry se vio truncado de su verdadero potencial de propagación e interrupción debido a un «interruptor de interrupción».
«No podemos esperar tener tanta suerte esta vez; no se trata de si sucederá, se trata de cuándo sucederá. Las organizaciones de todos los tamaños deben someterse a una estrategia agresiva de reconocimiento y parches mientras todavía hay tiempo». dijo Povolni.
«Si alguna vez vio el programa de televisión ‘The Amazing Race’, ahora parece palidecer en comparación con la carrera mundial que tiene lugar como resultado de Log4Shell [the vulnerability’s nickname]. A pesar de que miles de organizaciones en todo el mundo continúan buscando y reparando esta vulnerabilidad excepcional, los actores de amenazas están trabajando a un ritmo vertiginoso para armar y refinar aún más las vulnerabilidades de la falla».
Otros, como el CTO de BreachQuest, Jake Williams, dijeron que si bien es seguro que alguien creará un gusano que abusa de Log4Shell, es poco probable que sea como WannaCry, NotPetya o gusanos anteriores que abusan de los procesos a nivel del sistema.
La gran mayoría de los servidores vulnerables a Log4Shell ejecutarán el proceso vulnerable con permisos muy limitados, explicó Williams, y agregó que, en la mayoría de los casos, un gusano que explote Log4Shell probablemente no podrá lograr la persistencia en los reinicios del proceso.
Debido a que el proceso probablemente no tiene permisos de sistema de archivos, Williams dijo que la gente debería preocuparse menos por las cargas de ransomware.
«Un proceso malicioso no puede cifrar lo que no puede escribir en primer lugar. Si bien deberíamos esperar absolutamente que se cree un gusano Log4Shell, no debemos combinar el daño esperado de un gusano con lo que se ha visto en niveles anteriores perfilar gusanos», dijo Williams.
El vicepresidente de Salt Security, Yaniv Balmas, dijo que su equipo ya está viendo casos en los que la vulnerabilidad Log4Shell es utilizada por operaciones «comunes» relacionadas con el delito cibernético para propagar ransomware, calificando un exploit con gusanos como un «escenario válido».
Balmas señaló que incluso hoy en día, el mundo sigue viendo artefactos de gusanos similares que se lanzaron hace años. Si alguien decide incrustar esta vulnerabilidad en un gusano, Balmas dijo que sería «casi imposible detenerlo una vez que alcance una masa crítica».
«Sin embargo, sin descuidar el impacto de un gusano de este tipo, ese podría no ser el peor escenario debido a la increíble facilidad con la que se puede aplicar este ataque. Cualquier persona con una computadora básica y acceso a Internet podría lanzar un ataque contra millones de servicios en línea dentro de minutos», dijo Balmas.
Afortunadamente, algunos expertos en seguridad cibernética dijeron que la ventaja inicial en el manejo de la detección, la mitigación y la aplicación de parches ayudará a prepararse para lo peor.
John Bambenek, principal cazador de amenazas de Netenrich, dijo que un gusano habría sido mucho peor la semana pasada. Pero el trabajo que se está realizando en toda la industria aseguró que muchas de las máquinas más vulnerables estén en un lugar mejor.
Otros dijeron que si bien la vulnerabilidad es compatible con gusanos, no ha habido evidencia que sugiera que esta es una prioridad para los actores de amenazas en este momento. Los gusanos también requieren una cantidad significativa de tiempo y esfuerzo para desarrollarse, según Chris Morgan, analista senior de Digital Shadows.
«Esta actividad difiere del incidente de WannaCry, que vio una tormenta perfecta de una vulnerabilidad altamente explotable que coincidió con una brecha de explotación a nivel de la NSA en EternalBlue. Todavía es muy temprano con respecto a Log4j», dijo Morgan.
«Si bien es probable que muchos actores de amenazas se encuentren en diferentes etapas de la cadena de destrucción, es probable que la mayoría de los actores aún busquen sistemas susceptibles, intenten establecer un punto de apoyo e identifiquen más oportunidades, según sus motivaciones. Los esfuerzos entre los actores en esta etapa son apresurándose a explotar antes de que las empresas tengan la oportunidad de parchear, en lugar de perder tiempo desarrollando un gusano».
El CTO de Vectra, Tim Wade, se hizo eco de ese sentimiento y señaló que la vulnerabilidad de Log4j aún corre mayor riesgo de ser atacada por adversarios humanos creativos y adaptables que pueden dejar menos huellas dactilares detrás de ellos a medida que emprenden ataques menos abiertos, como extraer secretos criptográficos o claves API para campañas presentes o futuras.
Si bien un gusano que permite una mayor explotación masiva es problemático, Wade dijo que los ataques menos directos «pueden introducir daños más duraderos cuando pasan desapercibidos durante mucho tiempo».