El pasado 9 de diciembre el mundo se sorprendió con el descubrimiento de la vulnerabilidad más crítica de la historia encontrada en la prominente biblioteca de código abierto Apache Log4j. Apodada rápidamente Log4Shell, esta vulnerabilidad de día cero es increíblemente fácil de explotar y un solo activo expuesto puede no solamente poner en enorme riesgo a toda una organización, sino que está presente en la mayoría de los servidores, aplicaciones, e incluso celulares.
Omar Alcalá, Director de Ingeniería para Tenable América Latina y el Caribe
Cada minuto descubrimos nuevas aplicaciones que usan Log4j, lo que puede afectar no solo el código que construye una empresa, sino también los sistemas de terceros que están vigentes. Datos del equipo de investigación de Tenable muestran el por qué el mundo de la ciberseguridad está preocupado: cada segundo se escanean 1400 activos en busca de la vulnerabilidad Log4Shell. Del total de organizaciones que escanearon sus activos, el 75% encontró activos vulnerables.”
La falla se descubrió por primera vez en el popular juego de Minecraft y desde entonces, se ha explotado activamente, causando un gran impacto en una serie de servicios y aplicaciones como Apple, iCloud, Amazon, Tesla, Steam y el propio Minecraft.
Esta vulnerabilidad reside en la popular biblioteca de registro de Java de código abierto Apache y su función es capturar los datos de registro que se utilizan para diferentes acciones. La paradoja es que cuanto más madura es la organización, más datos se guardan, pero mayor es la oportunidad de explotar la falla y es más difícil controlarla para los expertos en ciberseguridad.
Evolución de Log4Shell: Ataques ransomware, criptomonedas y denegación de servicio
Ya se han observado delincuentes con ataques de ransomware, minería de criptomonedas y ataques de denegación de servicio. Hasta ahora, se han detectado dos grupos de ransomware que se
aprovechan de esta vulnerabilidad: Khonsari y Conti. Este último, uno de los grupos de ransomware más grandes de la actualidad, no solo está utilizando la vulnerabilidad para explotar, sino también para moverse lateralmente dentro de una organización. Se estima que ha recaudado más de 150 millones en los últimos 6 meses y ya se ha registrado su primer ataque al Ministerio de Defensa de Bélgica. El grupo Khonsari fue el primero en utilizar Log4Shell y es conocido como un “skidware” de bajo esfuerzo (script kiddie-ware). Sin embargo, el ransomware es funcional y logra encriptar archivos.
Sin embargo los mineros de criptomonedas maliciosos están tratando de aprovechar la vulnerabilidad instalando software en sus sistemas para usarlo como recurso para generar criptomonedas para los atacantes. También se están instalando botnets que se utilizan para realizar ataques masivos de denegación de servicio (DDoS).
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de los Estados Unidos, CISA por sus siglas en inglés, emitió un comunicado instando a todas las organizaciones a tomar medidas inmediatas para proteger sus redes y marco como vital parchear el software con carácter de urgencia. Sin embargo, los datos de la investigación de Tenable muestran que el 30% de las organizaciones aún no han evaluado sus entornos para Log4Shell.
En este punto, las organizaciones deben prepararse para responder a cualquier incidente y reducir el riesgo lo antes posible. Para eso, necesitan tener visibilidad de su entorno y de los terceros con los que interactúan, así como conocer su superficie de ataque creando una red más segura para todos. Los sistemas y sus riesgos o fallas inminentes deben evaluarse y mitigarse constantemente.”Estamos viendo ahora tan solo la punta del iceberg en cuanto a los posibles daños e impacto que causará esta vulnerabilidad. El impacto por esta vulnerabilidad ha sido masivo y estas últimas semanas hemos visto nuevos descubrimientos que magnifican el problema, por lo que seguiremos viendo intentos y más formas de explotar Log4Shell durante este 2022, similar a lo que ya vivimos con la vulnerabilidad de EternalBlue de Microsoft, que dio paso a temas como WannaCry¨.
Omar Alcalá, Director de Ingeniería para Tenable América Latina y el Caribe