Cómo la vulnerabilidad de seguridad de Log4J lo pone en riesgo

December 13, 2021
EnNoticias Seguridad De Internet

Conclusiones clave

Los piratas informáticos publicaron un código que revelaba un exploit en una biblioteca de registro de Java ampliamente utilizada.
Los detectives de ciberseguridad notaron un escaneo masivo en la web en busca de servidores y servicios explotables.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha instado a los proveedores y usuarios a parchear y actualizar su software y servicios con urgencia.

Imagen generada digitalmente del candado de seguridad del circuito electrónico hecha de números sobre fondo negro. — Andriy Onufriyenko / Getty Images

El panorama de la ciberseguridad está en llamas debido a una vulnerabilidad fácilmente explotable en una popular biblioteca de registros de Java, Log4j. Es utilizado por todos los software y servicios populares y quizás ya haya comenzado a afectar al usuario diario de computadoras de escritorio y teléfonos inteligentes.

Los expertos en ciberseguridad están viendo una amplia variedad de casos de uso del exploit Log4j que ya comienzan a aparecer en la web oscura, que van desde la explotación Minecraft servidores a problemas más importantes que creen que podrían afectar a Apple iCloud.

"Esta vulnerabilidad de Log4j tiene un efecto de filtración, que afecta a todos los grandes proveedores de software que podrían utilizar este componente como parte de su empaquetado de aplicaciones". John Hammond, Investigador senior de seguridad en Cazadora, le dijo a Lifewire por correo electrónico. "La comunidad de seguridad ha descubierto aplicaciones vulnerables de otros fabricantes de tecnología como Apple, Twitter, Tesla, [y] Cloudflare, entre otros. Mientras hablamos, la industria todavía está explorando la vasta superficie de ataque y corre el riesgo de que esta vulnerabilidad represente ".

Fuego en el hoyo

La vulnerabilidad rastreada como CVE-2021-44228 y denominado Log4Shell, tiene la puntuación de gravedad más alta de 10 en el sistema de puntuación de vulnerabilidad común (CVSS).

Ruido gris, que analiza el tráfico de Internet para detectar señales de seguridad importantes, primera actividad observada para esta vulnerabilidad el 9 de diciembre de 2021. Fue entonces cuando comenzaron a aparecer exploits de prueba de concepto (PoC) armados, lo que llevó a un rápido aumento del escaneo y la explotación pública el 10 de diciembre de 2021 y durante el fin de semana.

Log4j está fuertemente integrado en un amplio conjunto de marcos DevOps y sistemas de TI empresariales y en software de usuario final y aplicaciones populares en la nube.

Tecla de computación en la nube en el teclado de la computadora — Imágenes de Sitade / Getty

Explicar la gravedad de la vulnerabilidad. Anirudh Batra, analista de amenazas en CloudSEK, le dice a Lifewire por correo electrónico que un actor de amenazas podría explotarlo para ejecutar código en un servidor remoto.

"Esto ha dejado incluso a juegos populares como Minecraft también vulnerable. Un atacante puede explotarlo simplemente publicando una carga útil en el chatbox. No solo Minecraft, pero otros servicios populares como iCloud [y] Steam también son vulnerables ", explicó Batra, y agregó que" activar la vulnerabilidad en un iPhone es tan simple como cambiar el nombre del dispositivo ".

La punta del iceberg

Empresa de ciberseguridad Tenable sugiere que debido a que Log4j está incluido en una serie de aplicaciones web y es utilizado por una variedad de servicios en la nube, no se conocerá el alcance completo de la vulnerabilidad durante algún tiempo.

La empresa apunta a un Repositorio de GitHub que rastrea los servicios afectados, que en el momento de redactar este artículo enumera unas tres docenas de fabricantes y servicios, incluidos los populares como Google, LinkedIn, Webex, Blender y otros mencionados más temprano.

"Mientras hablamos, la industria todavía está explorando la vasta superficie de ataque y corre el riesgo de que esta vulnerabilidad represente".

Hasta ahora, la gran mayoría de la actividad se ha estado escaneando, pero también se han visto actividades de explotación y posexplotación.

"Microsoft ha observado actividades que incluyen la instalación de mineros de monedas, Cobalt Strike para permitir el robo de credenciales y el movimiento lateral, y la extracción de datos de los sistemas comprometidos", escribe el Centro de inteligencia de amenazas de Microsoft.

Fijar con listones La escotilla

No es de extrañar, entonces, que debido a la facilidad de explotación y la prevalencia de Log4j, Andrew Morris, Fundador y director ejecutivo de GreyNoise, le dice a Lifewire que cree que la actividad hostil seguirá aumentando durante los próximos días.

Sin embargo, la buena noticia es que Apache, los desarrolladores de la biblioteca vulnerable, han publicado un parche para neutralizar las vulnerabilidades. Pero ahora depende de los fabricantes de software individuales parchear sus versiones para proteger a sus clientes.

Fotografía en primer plano de las manos de una persona que trabaja con su computadora portátil — Manuel Breva Colmeiro / Getty Images

Kunal Anand, CTO de empresa de ciberseguridad Imperva, le dice a Lifewire por correo electrónico que si bien la mayor parte de la campaña contradictoria que explota la vulnerabilidad está actualmente dirigida a Los usuarios empresariales, los usuarios finales deben estar atentos y asegurarse de actualizar el software afectado tan pronto como se apliquen los parches. disponible.

Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), se hizo eco del sentimiento.

"Los usuarios finales dependerán de sus proveedores, y la comunidad de proveedores debe identificar, mitigar y parchear de inmediato la amplia gama de productos que utilizan este software. Los proveedores también deben comunicarse con sus clientes para asegurarse de que los usuarios finales sepan que su producto contiene esta vulnerabilidad y deben priorizar las actualizaciones de software ", dijo Easterly a través de un declaración.