Conclusiones clave
- Los piratas informáticos publicaron un código que revela un exploit en una biblioteca de registro de Java ampliamente utilizada.
- Los detectives de ciberseguridad notaron un escaneo masivo en la web en busca de servidores y servicios explotables.
-
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha instado a los proveedores y usuarios a parchear y actualizar su software y servicios con urgencia.
El panorama de la ciberseguridad está en llamas debido a una vulnerabilidad fácilmente explotable en una popular biblioteca de registro de Java, Log4j. Lo utilizan todos los software y servicios populares y tal vez ya haya comenzado a afectar a los usuarios cotidianos de computadoras de escritorio y teléfonos inteligentes.
Los expertos en ciberseguridad están viendo una amplia variedad de casos de uso para el exploit Log4j que ya está comenzando a aparecer en la web oscura, que van desde la explotación de servidores de Minecraft hasta problemas más importantes que creen que podrían afectar a Apple iCloud.
"Esta vulnerabilidad de Log4j tiene un efecto de goteo, que afecta a todos los grandes proveedores de software que podrían usar este componente como parte de su paquete de aplicaciones", dijo John Hammond, investigador sénior de seguridad de Huntress, a Lifewire por correo electrónico. "La comunidad de seguridad ha descubierto aplicaciones vulnerables de otros fabricantes de tecnología como Apple, Twitter, Tesla, [y] Cloudflare, entre otros. Mientras hablamos, la industria aún está explorando la amplia superficie de ataque y el riesgo que plantea esta vulnerabilidad".
Fuego en el agujero
La vulnerabilidad rastreada como CVE-2021-44228 y denominada Log4Shell, tiene la puntuación de gravedad más alta de 10 en el sistema común de puntuación de vulnerabilidades (CVSS).
GreyNoise, que analiza el tráfico de Internet para detectar señales de seguridad importantes, observó por primera vez actividad para esta vulnerabilidad el 9 de diciembre de 2021. Fue entonces cuando comenzaron a aparecer exploits de prueba de concepto (PoC) armados, lo que llevó a un rápido aumento de escaneo y explotación pública el 10 de diciembre de 2021 y durante el fin de semana.
Log4j está fuertemente integrado en un amplio conjunto de marcos DevOps y sistemas de TI empresariales y en software de usuario final y aplicaciones populares en la nube.
Al explicar la gravedad de la vulnerabilidad, Anirudh Batra, analista de amenazas de CloudSEK, le dice a Lifewire por correo electrónico que un actor de amenazas podría explotarla para ejecutar código en un servidor remoto.
"Esto ha dejado a juegos populares como Minecraft también vulnerables. Un atacante puede explotarlo simplemente publicando una carga útil en el cuadro de chat. No solo Minecraft, sino también otros servicios populares como iCloud [y] Steam también son vulnerables ". Batra explicó y agregó que "activar la vulnerabilidad en un iPhone es tan simple como cambiar el nombre del dispositivo."
La punta del iceberg
La compañía de ciberseguridad Tenable sugiere que debido a que Log4j está incluido en varias aplicaciones web y es utilizado por una variedad de servicios en la nube, el alcance total de la vulnerabilidad no se conocerá por algún tiempo.
La empresa apunta a un repositorio de GitHub que rastrea los servicios afectados, que en el momento de escribir este artículo enumera unas tres docenas de fabricantes y servicios, incluidos los populares como Google, LinkedIn, Webex, Blender y otros mencionados anteriormente.
Mientras hablamos, la industria aún está explorando la amplia superficie de ataque y el riesgo que plantea esta vulnerabilidad.
Hasta ahora, la gran mayoría de la actividad ha sido escanear, pero también se han observado actividades de explotación y posteriores a la explotación.
"Microsoft ha observado actividades que incluyen la instalación de mineros de monedas, Cob alt Strike para permitir el robo de credenciales y el movimiento lateral, y la exfiltración de datos de sistemas comprometidos", escribe el Centro de inteligencia de amenazas de Microsoft.
Asegura las escotillas
No sorprende, entonces, que debido a la facilidad de explotación y prevalencia de Log4j, Andrew Morris, fundador y director ejecutivo de GreyNoise, le dice a Lifewire que cree que la actividad hostil seguirá aumentando en los próximos días.
La buena noticia, sin embargo, es que Apache, los desarrolladores de la biblioteca vulnerable, ha publicado un parche para neutralizar las vulnerabilidades. Pero ahora depende de los fabricantes de software individuales parchear sus versiones para proteger a sus clientes.
Kunal Anand, CTO de la empresa de seguridad cibernética Imperva, le dice a Lifewire por correo electrónico que, si bien la mayor parte de la campaña contradictoria que explota la vulnerabilidad está dirigida actualmente a los usuarios empresariales, los usuarios finales deben permanecer atentos y asegurarse de actualizar el software afectado. tan pronto como los parches estén disponibles.
El sentimiento fue compartido por Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
"Los usuarios finales dependerán de sus proveedores, y la comunidad de proveedores debe identificar, mitigar y parchear de inmediato la amplia gama de productos que utilizan este software. Los proveedores también deben comunicarse con sus clientes para garantizar que los usuarios finales sepan que su producto contiene esta vulnerabilidad y debe priorizar las actualizaciones de software ", dijo Easterly a través de un comunicado.
