El 9 de diciembre se reveló una grave vulnerabilidad de código remoto en Log4J, un componente de registro muy común entre los desarrolladores de aplicaciones web basadas en el lenguaje de programación Javascript. Esta vulnerabilidad afecta a una amplia gama de servicios y aplicaciones, lo que la hace extremadamente peligrosa e incrementa la necesidad de nuevas actualizaciones para dichos sistemas.

Se trata de una vulnerabilidad de ejecución remota de código (RCE) descubierta por el equipo de Alibaba Cloud en noviembre y que fue parcheada en diciembre con una actualización de Log4j. Sin embargo, recientemente se publicó un exploit para Log4Shell que permite a un atacante ejecutar el código de su elección en un servidor afectado. Si el adversario obtiene acceso a la red local, incluso si los sistemas internos no están expuestos a internet, la misma puede ser explotada. En última instancia, una vulnerabilidad de RCE significa que un atacante no necesita tener acceso físico para ejecutar código arbitrario que podría conducir a un control completo sobre los sistemas afectados y al robo de datos confidenciales. Esto incluye tanto servidores Linux como Windows.

Según los expertos, la vulnerabilidad es de fácil explotación y tiene impacto en la configuración por defecto de varios frameworks de Apache. Actores maliciosos ya comenzaron a escanear la red en busca de servidores vulnerables para explotar el fallo (o utilizarlos en futuros ataques) y realizar acciones maliciosas como instalar malware, exfiltrar datos o tomar el control del servidor. Se debe aclarar que, con el lanzamiento de la última actualización, esta función ya no está habilitada por defecto.

Roman Kovác, Chief Research Officer de ESET, comentó sobre estos descubrimientos: “el volumen de nuestras detecciones confirma que es un problema a gran escala que no desaparecerá pronto. Efectivamente, los atacantes están probando muchas variantes de explotación, pero no todos los intentos son necesariamente maliciosos. Algunos pueden ser incluso benignos, considerando que investigadores y compañías de seguridad también se encuentran realizando pruebas con propósitos de mejorar la defensa”.

Más allá de la severidad de la vulnerabilidad, que recibió un puntaje de 10 sobre 10 en la escala de CVSS, el hecho de que es una librería utilizada por miles de aplicaciones, plataformas de comercio electrónico, videojuegos y sitios web genera preocupación. De hecho, según publicó BleepingComputer, ya se detectaron ataques distribuyendo distintos mineros de criptomonedas, como Kinsing, así como los códigos maliciosos Mirai y Muhstik. Los operadores detrás de estas dos botnets buscan comprometer dispositivos IoT y servidores para sumarlos a su red de equipos bajo su control para distribuir malware para minar criptomonedas y llevar adelante ataques de DDoS. Si bien hasta este momento no se ha detectado la explotación de esta vulnerabilidad para distribuir ransomware, no sería extraño que esto suceda.

La vulnerabilidad hace posible que cualquier atacante pueda inyectar texto y modificar los parámetros de configuración del servidor que carga el código para el desarrollo de la aplicación; de ese modo, el servidor ejecuta ese código modificado mediante llamadas a la Interfaz de directorio y nombres de Java (JNDI). Ya habiendo vulnerado JNDI, este interactúa con varios servicios de red, incluido el protocolo ligero de acceso a directorios (LDAP), el servicio de nombres de dominio (DNS), la interfase remota de Java (RMI) y el agente de solicitud (CORBA). De ese modo, los entes maliciosos pueden dirigir a los usuarios de esas aplicaciones desde LDAP, DNS y RMI, hacia una URL redirigida a un servidor externo con código modificado.

Diversas operaciones maliciosas de criptomineros intentan aprovechar la vulnerabilidad, y hay informes de que varias botnets automatizadas (como Mirai, Tsunami y Kinsing) también han comenzado a explotarla.

Es probable que se produzcan rápidamente otros tipos de ataques. Si bien hay pasos que los operadores del servidor pueden tomar para mitigar la vulnerabilidad, la mejor solución es actualizar a la última versión con los parches correspondientes, ya lanzada por Apache en Log4j 2.15.0. Sin embargo, la implementación de una actualización puede no ser tan simple, especialmente si las organizaciones no saben dónde se implementó como componente.

En el pasado, se han encontrado vulnerabilidades de inyección JNDI críticas similares en otros componentes del servidor Java, incluida una en la implementación del protocolo Inter-ORB de internet (IIOP) del servidor WebLogic de Oracle (CVE-2020-2551). Pero el uso generalizado de Log4J en software comercial y de código abierto conectado a internet hace que sea una vulnerabilidad especialmente difícil de rastrear.

La falla en Log4J es causada por una característica llamada sustitución de búsqueda de mensajes. Cuando está habilitado (que estaba, de forma predeterminada, antes de la corrección del error), Log4j detectaba cadenas que hacen referencia a recursos JNDI en fuentes de configuración, mensajes de registro y parámetros pasados de las aplicaciones.

Debido a que Log4J no desinfecta las URL pasadas en estas cadenas, un atacante puede crear aplicaciones que usan Log4J haciendo cadenas de sustitución de mensajes para dirigir el tráfico hacia una URL para un servidor malicioso.

En el caso de las aplicaciones web, la cadena podría ser parte de una comunicación HTTP que se registraría, formateada como un comando de sustitución que hace referencia al servidor malicioso.

Entonces, los comandos de búsqueda que usan JNDI dan como resultado que Log4J se comunique con un servidor (local o remoto) para obtener el código Java. En el escenario benigno, este código ayudaría a generar los datos que se pretenden registrar. Pero la esencia de esta vulnerabilidad es que este mismo mecanismo permite la ejecución de código Java remoto, malicioso y no verificado.

Los atacantes emiten solicitudes donde los encabezados HTTP están rociados con cadenas maliciosas, construidas para provocar que la aplicación receptora realice la sustitución del mensaje, momento en el que la aplicación activa la vulnerabilidad y carga o ejecuta el código remoto.

Sophos ha implementado una serie de escaneos en los sistemas en busca de tráfico que intente aprovechar la vulnerabilidad Log4J. La empresa detectó que durante el fin de semana, el tráfico dirigido a Log4J comenzó a aumentar, y el mayor aumento se produjo el sábado 11 de diciembre por la noche.

La gran mayoría de este tráfico (alrededor del 90%) usaba el protocolo LDAP como objetivo de exploits. Al examinarlo, parte de este tráfico puede haber sido escaneo interno en busca de vulnerabilidades por parte de las organizaciones, pero gran parte parecían ser sondas de sistemas explotables por parte de los atacantes.

De acuerdo con Tanium, el comercio electrónico es el sector que al parecer es el objetivo de los atacantes debido a la cantidad de dinero que se ejecuta a través de los sitios web. El momento en el que emerge esta vulnerabilidad es terrible para estas empresas, ya que ahora realizarán cambios de emergencia en sus entornos de TI en su época de mayor actividad del año con la llegada de la Navidad. Para minimizar el impacto, se recomienda parchar la vulnerabilidad lo antes posible. Deben comenzar con las partes externas de su infraestructura de TI en primer lugar, como su sitio web, antes de cambiar su enfoque a los sistemas internos.

“Esta vulnerabilidad es la peor que he visto en mi carrera hasta ahora, en términos de cuántas personas y organizaciones se ven afectadas y qué tan severo podría ser el impacto”, Miguel Llerena, VP para Latinoamérica de Tanium. “Esta desafortunada noticia de la nueva amenaza, es un recordatorio de la importancia de la higiene cibernética y la gestión de activos. Si se tienen estos conceptos básicos en su lugar antes de que ocurra un incidente, entonces las empresas estarán en una posición mucho mejor para evitar que se produzcan daños o para minimizar el impacto”.

Resolver la vulnerabilidad de Log4J requiere una defensa en profundidad. Las organizaciones deben implementar reglas para bloquear el tráfico malicioso de todos los servicios conectados a internet, pero la protección a largo plazo requerirá identificar y actualizar instancias de Log4J o mitigar el problema cambiando la configuración. Eso puede requerir cambios de código en productos donde este protocolo está incrustado.

“No puedo exagerar la gravedad de esta amenaza. A primera vista, esto está dirigido a los mineros criptográficos, pero creemos que crea el tipo de ruido de fondo que los actores de amenazas graves intentarán explotar para atacar una amplia gama de objetivos de alto valor, como bancos, seguridad estatal y servicios críticos. infraestructura. Comenzamos a implementar nuestra protección el viernes y para el domingo ya habíamos evitado más de 400.000 intentos de explotar la vulnerabilidad en más de un tercio de todas las redes corporativas a nivel mundial. Lo más preocupante es el hecho de que casi la mitad de esos intentos fueron realizados por grupos maliciosos conocidos”, indicó Lotem Finkelstein, director de Inteligencia de Amenazas e Investigación de Check Point Software Technologies.

“Los equipos de seguridad deben abordar esto con la mayor urgencia ya que el potencial de daño es incalculable. La necesidad de una respuesta rápida se destaca por el hecho de que esto se descubrió al final de la semana laboral en el período previo a la temporada navideña, cuando los equipos de seguridad pueden tardar más en implementar las medidas de protección. En Check Point Software llevamos varios meses haciendo sonar la alarma sobre una “pandemia cibernética” y esto es exactamente a lo que nos estamos refiriendo. Es muy contagioso y se propaga rápidamente, por lo que una vigilancia constante y una estrategia de prevención sólida son esenciales”, concluyó Finkelstein.

Noticias Relacionadas

México Cybersecurity Summit 20213 min read Aumentan los ataques a empresas: cómo prevenirlos con higiene cibernetica4 min read Nuevo engaño vía WhatsApp afecta a usuarios de Argentina4 min read Riesgos y desafíos de ciberseguridad6 min read