diciembre 14, 2021 Miguel Torres

Cibercrimen lanza más de 840.000 ataques a través de la falla de Log4J

Grupos cibercriminales, incluidos algunos respaldados por el estado chino, han lanzado más de 840.000 ataques contra empresas en todo el mundo desde el viernes pasado, según investigadores en ciberseguridad. Justo cuando la temporada navideña se aproxima, una vulnerabilidad crítica en una librería de Apache llamada Log4j 2 ha llamado a la puerta. Log4j es una librería de registro de logs basada en Java que es ampliamente utilizada por muchos productos, servicios y componentes de Java. No es de extrañar que el fallo, que obtuvo un puntaje 10 sobre 10 en la escala de severidad CVSS ( CVE-2021-44228) y que pone en riesgo a innumerables servidores de que cibercriminales tomen control total de los mismos, haya tenido mucha repercusión más allá de la industria de la seguridad.

El grupo de seguridad cibernética Check Point dijo que los ataques relacionados con la vulnerabilidad se habían acelerado en las 72 horas transcurridas desde el viernes, y que en algunos puntos sus investigadores estaban viendo más de 100 ataques por minuto.

Los perpetradores incluyen “atacantes del gobierno chino”, según Charles Carmakal, director de tecnología de la empresa cibernética Mandiant.

Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), dijo a los ejecutivos de la industria que la vulnerabilidad era “una de las más graves que he visto en toda mi carrera, si no la más grave”, según informes de medios estadounidenses, “es probable que cientos de millones de dispositivos se vean afectados” dijo.

CheckPoint dijo que en muchos casos, los ciber atacantes estaban tomando el control de las computadoras para usarlas para extraer criptomonedas o para convertirse en parte de botnets (redes de equipos “zombie”) que pueden usarse para abrumar sitios web con tráfico, enviar spam o para otros fines ilegales.

Tanto CISA como el Centro Nacional de Seguridad Cibernética del Reino Unido han emitido alertas instando a las organizaciones a realizar actualizaciones relacionadas con la vulnerabilidad Log4J, mientras los expertos intentan evaluar las consecuencias. Amazon, Apple, IBM, Microsoft y Cisco se encuentran entre los que se han apresurado a publicar soluciones, pero hasta ahora no se han informado públicamente infracciones graves.

La vulnerabilidad es la más reciente en afectar las redes corporativas a nivel masivo, luego de que el año pasado aparecieran amenazas localizadas en aplicaciones de uso común hechas por Microsoft y la compañía Solar Winds. Ambas debilidades fueron inicialmente explotadas por grupos de espionaje respaldados por el estado de China y Rusia, respectivamente.

Carmakal de Mandiant dijo que los actores respaldados por el estado chino también estaban intentando explotar el bug Log4J, pero se negó a compartir más detalles. Los investigadores de SentinelOne también han dicho a los medios que han observado que grupos de ciber actores chinos estan aprovechando la vulnerabilidad.

Según CheckPoint, casi la mitad de todos los ataques han sido realizados por grupos de ciber actores conocidos. Estos incluían grupos que usaban Tsunami y Mirai, malware que convierte los dispositivos en botnets, o redes que se usan para lanzar ataques controlados de forma remota, como ataques de denegación de servicio. También incluyó grupos que utilizan XMRig, un software que extrae la moneda digital Monero.

“Con esta vulnerabilidad, los atacantes obtienen un poder casi ilimitado: pueden extraer datos confidenciales, subir archivos al servidor, eliminar datos, instalar ransomware o moverse a otros servidores”, dijo Nicholas Sciberras, jefe de ingeniería del escáner de vulnerabilidades Acunetix.  “Fue asombrosamente fácil ejecutar un ataque” dijo, y agregó que esta vulnerabilidad “será explotada durante los próximos meses”.

La fuente de la vulnerabilidad es un código defectuoso desarrollado por voluntarios no remunerados en la Apache Software Foundation, una organización sin fines de lucro, que ejecuta múltiples proyectos de código abierto. Log4J se ha descargado millones de veces.

La falla ha pasado desapercibida desde 2013, dicen los expertos. Matthew Prince, director ejecutivo del grupo cibernético Cloudflare, dijo que comenzó a ser explotado activamente a partir del 1 de diciembre, aunque no hubo evidencia de explotación masiva hasta después de la divulgación pública de Apache la semana siguiente.

En NEKT podemos ayudarte a proteger tu infraestructura para que esta vulnerabilidad no sea aprovechada. Nuestros socio tecnológico SentinelOne detiene la ejecución del shell en los equipos Windows y Linux.

Fuentes: ArsTechnica y WeLiveSecurity.