Búsqueda de Ciberamenazas

El infierno de Log4Shell: Anatomía de un brote de exploits

Sophos, líder global en ciberseguridad de última generación, alerta de una grave vulnerabilidad en un sistema de registros ampliamente utilizado por los desarrolladores de aplicaciones web y servidores basados en Java, lo que está poniendo en riesgo a un número incalculable de empresas a posibles ciberataques de código remoto y la exposición de su información.

Tras la notificación de la vulnerabilidad de Apache Log4Shell, Sophos proporciona ahora nueva información sobre cómo los ciberatacantes están explorando o intentando explotar los sistemas sin parchear. Los nuevos descubrimientos de Sophos se detallan en este artículo de SophosLabs Uncut, Log4Shell Hell: Anatomy of an Exploit Outbreak, que recoge:

  • Sophos está observando un rápido aumento de los ataques que explotan o intentan explotar esta vulnerabilidad, con cientos de miles de intentos detectados hasta ahora
  • Las redes de bots de criptominería están siendo los primeros en explotar esta vulnerabilidad. Estas redes de bots se centran en plataformas de servidores Linux, que están especialmente expuestas a esta vulnerabilidad.
  • Sophos también ha detectado intentos para extraer información de diversos servicios, entre los que se incluyen claves de Amazon Web Services y otros datos privados
  • Sophos ha observado que los intentos de atacar los servicios de red empiezan probando diferentes vías. Alrededor del 90% de los intentos detectados por Sophos se centraban en el Protocolo Ligero de Acceso a Directorios (LDAP). Un número menor de intentos se ha dirigido a la Interfaz Remota de Java (RMI), aunque los investigadores de Sophos han detectado que parece haber una mayor variedad de intentos relacionados únicamente con RMI.
  • Sophos espera que los atacantes intensifiquen y diversifiquen sus métodos de ataque y sus motivaciones en los próximos días y semanas, sin descartar la posibilidad de que aprovechen ataques de ransomware.

Según indica Sean Gallagher, investigador senior de amenazas de Sophos, y autor del artículo de SophosLabs Uncut:

“Desde el 9 de diciembre, Sophos ha detectado cientos de miles de intentos de ejecutar código de forma remota utilizando la vulnerabilidad Log4Shell. Inicialmente, se trataba de pruebas de penetración a través de Pruebas de Concepto (PoC), llevadas a cabo por investigadores de seguridad y atacantes potenciales, entre otros, además de muchos escaneos online de la vulnerabilidad. A esta primera fase le siguieron rápidamente los intentos de instalar mineros de criptomonedas, incluyendo la red de bots mineros Kinsing. La información más reciente sugiere que los atacantes están tratando de explotar la vulnerabilidad para exponer las claves utilizadas por las cuentas de Amazon Web Service. También hay indicios de que los atacantes intentan aprovechar la vulnerabilidad para instalar herramientas de acceso remoto en las redes de las víctimas, posiblemente Cobalt Strike, una herramienta clave en muchos ataques de ransomware”

“La vulnerabilidad Log4Shell presenta un desafío nunca antes visto para los defensores. Muchas vulnerabilidades de software se limitan a un producto o plataforma específica, como las vulnerabilidades ProxyLogon y ProxyShell en Microsoft Exchange. Esto permite a los responsables de seguridad comprobar sus software y parchearlos una vez que han detectado cuál ha sufrido la vulnerabilidad. Sin embargo, Log4Shell es una biblioteca que utilizan muchos productos. Por lo tanto, puede estar presente en los rincones más oscuros de la infraestructura de una empresa, por ejemplo, en cualquier software desarrollado internamente. Encontrar todos los sistemas que son vulnerables a causa de Log4Shell debería ser una prioridad para la ciberseguridad ahora mismo”.

“Según las previsiones de Sophos, la velocidad con la que los atacantes están aprovechando y utilizando esta vulnerabilidad no hará sino intensificarse y diversificarse en los próximos días y semanas. Por lo tanto, junto con la actualización de software ya lanzada por Apache para Log4j 2.15.0, los equipos de seguridad deben hacer una revisión exhaustiva de la actividad en la red para detectar y eliminar cualquier rastro de intrusos, incluso si solo parece un malware de

Sophos espera que la velocidad con la que los atacantes están aprovechando y utilizando la vulnerabilidad no haga más que intensificarse y diversificarse en los próximos días y semanas. Una vez que un atacante se ha asegurado el acceso a una red, puede seguir cualquier infección. Por lo tanto, junto con la actualización de software ya lanzada por Apache en Log4j 2.15.0, los equipos de seguridad de TI deben hacer una revisión exhaustiva de la actividad en la red para detectar y eliminar cualquier rastro de intrusos, incluso si sólo parece un incómodo commodity malware”.

Este viernes 17, a las 10:30, ofreceremos un webinar en el que analizaremos en profundidad la vulnerabilidad Apache log4j. Durante la sesión incluiremos consejos prácticos sobre cómo defender mejor tu organización. Puedes apuntarte gratuitamente aquí.