Log4j, es un poco conocido pero ampliamente utilizado recurso de Java, que ayuda a las principales empresas, como Amazon, Apple, Tesla, IBM y Twitter, a registrar y rastrear la actividad de los usuarios en una serie de aplicaciones. Ahora, los ciberatacantes lo están utilizando como una palanca para entrar en las computadoras. Una vez dentro, los hackers pueden, entre otras cosas
- Extraer datos sensibles.
- Minar criptomonedas.
- Unir el equipo a una “red de bots”, un sistema de computadoras interconectadas que se utiliza para enviar spam en masa y realizar otras acciones maliciosas.
Hasta el momento, la única empresa conocida que ha sido vulnerada a través de Log4J es Microsoft, cuyos servidores para el videojuego Minecraft fueron asaltados. Otras empresas están actualmente en fase de investigación, por lo que se desconocen todas las consecuencias.
¿De quién es la responsabilidad?
El mantenimiento de Log4j corre a cargo de un equipo de voluntarios que en su tiempo libre programan para la fundación sin ánimo de lucro Apache Software Foundation. Es una de las decenas de organizaciones de código abierto dirigidas por voluntarios que crean el software libre que sustenta el funcionamiento de la mayoría de las grandes empresas.
Sorprendentemente, el fallo existe desde 2013. El equipo de Apache no estaba al tanto de él hasta que un empleado de Alibaba envió un aviso el 24 de noviembre. En pocas semanas, el código estaba libre: Los detalles del fallo salieron a la luz en conversaciones en la red social china WeChat y poco después se convirtieron en noticia mundial.
El equipo de voluntarios ya ha creado un parche para solucionar el problema, pero los ingenieros de software de las empresas tienen que adaptar y distribuir la actualización. Además, los hackers que entraron en los servidores a través de la puerta Log4J probablemente rompieron algunas ventanas mientras estaban allí, lo que les permitió eludir el primer parche.
ESET: “Vulnerabilidad de fácil explotación“
Según ESET, Log4j es una vulnerabilidad de ejecución remota de código (RCE, por sus siglas en inglés) descubierta por el equipo de Alibaba Cloud en noviembre y que fue parcheada en diciembre con una actualización de Log4j. Sin embargo, el viernes 10 de diciembre se publicó un exploit para Log4Shell que permite a un atacante ejecutar el código de su elección en un servidor afectado. Si el adversario obtiene acceso a la red local, incluso si los sistemas internos no están expuestos a Internet, la misma puede ser explotada. En última instancia, una vulnerabilidad de RCE significa que un atacante no necesita tener acceso físico para ejecutar código arbitrario que podría conducir a un control completo sobre los sistemas afectados y al robo de datos confidenciales. Esto incluye tanto servidores Linux como Windows.
Roman Kováč, Chief Research Officer de ESET, comentó sobre estos descubrimientos: “El volumen de nuestras detecciones confirma que es un problema a gran escala que no desaparecerá pronto. Efectivamente, los atacantes están probando muchas variantes de explotación, pero no todos los intentos son necesariamente maliciosos. Algunos pueden ser incluso benignos, considerando que investigadores y compañías de seguridad también se encuentran realizando pruebas con propósitos de mejorar la defensa”.
Recomendación: Dada la severidad de la vulnerabilidad y su impacto, se urge instalar lo antes posible la última versión de Log4j para mitigar esta vulnerabilidad o hacer los ajustes correspondientes en la configuración.
Sophos: “Un número incalculable de empresas quedan expuestas a ataques y robos de información”
Sophos explica que la vulnerabilidad hace posible que cualquier atacante pueda inyectar texto y modificar los parámetros de configuración del servidor que carga el código para el desarrollo de la aplicación; de ese modo, el servidor ejecuta ese código modificado mediante llamadas a la Interfaz de directorio y nombres de Java (JNDI).
Una vez que vulnera JNDI, este interactúa con varios servicios de red, incluido el Protocolo ligero de acceso a directorios (LDAP), el Servicio de nombres de dominio (DNS), la Interfaz remota de Java (RMI) y el Agente de solicitud (CORBA). De ese modo, los entes maliciosos pueden dirigir a los usuarios de esas aplicaciones desde LDAP, DNS y RMI, hacia una URL redirigida a un servidor externo con código modificado.
Sophos identificó diversas operaciones maliciosas de criptomineros que intentan aprovechar la vulnerabilidad, y hay informes de que varias botnets automatizadas (como Mirai, Tsunami y Kinsing) también han comenzado a explotarla.
Es probable que se produzcan rápidamente otros tipos de ataques. Si bien hay pasos que los operadores del servidor pueden tomar para mitigar la vulnerabilidad, la mejor solución es actualizar a la última versión con los parches correspondientes, ya lanzada por Apache en Log4j 2.15.0. Sin embargo, la implementación de una actualización puede no ser tan simple, especialmente si las organizaciones no saben dónde se implementó como componente.
Recomendación: Resolver la vulnerabilidad de Log4J requiere una defensa en profundidad. Las organizaciones deben implementar reglas para bloquear el tráfico malicioso de todos los servicios conectados a Internet, pero la protección a largo plazo requerirá identificar y actualizar instancias de Log4J o mitigar el problema cambiando la configuración. Eso puede requerir cambios de código en productos donde este protocolo está incrustado.
Qualys: “Es la vulnerabilidad de día cero más crítica de 2021”
Qualys ha analizado en detalle la vulnerabilidad que ha salido recientemente a la luz relacionada con la biblioteca de Java Apache Log4j y denominada Log4Shell (CVE-202-44228), arrojando las siguientes conclusiones:
• Log4j es una librería desarrollada por Apache Foundation y es ampliamente utilizada tanto por aplicaciones empresariales como por servicios en la nube.
Se incluye en frameworks de Java muy populares como Apache Flink, Apache Druid, Apache Struct2, etc.
• Todas las versiones de Log4j2 versiones> = 2.0-beta9 y <= 2.14.1 están afectadas por esta vulnerabilidad. Esta vulnerabilidad ya está siendo explotada activamente.
• Dada la amplia ubicuidad de esta biblioteca y su facilidad de explotación el impacto de esta vulnerabilidad se prevé bastante severo.
• La explotación de Log4Shell da como resultado la ejecución remota de código en el servidor vulnerable con privilegios de nivel de sistema. Por su impacto tiene una puntuación CVSS de 10.0.
• Apache Log4j2 versión 2.15.0 corrige esta vulnerabilidad. Si no es posible actualizar la versión, se pueden aplicar las mitigaciones aquí indicadas.
• Los ataques ya están sucediendo y se han visto exploits de prueba de concepto (PoC) en dominios como Twitter, GitHub, etc.
Recomendación: “Estamos probablemente ante la vulnerabilidad día cero más crítica de 2021”, ha destacado Bharat Jogi, director del equipo de Investigación de Vulnerabilidades y Amenazas de Qualys. “Se trata de una librería utilizada por millones de aplicaciones Java y que además es sencilla de explotar. Recomendamos a los usuarios y administradores que actualicen sus aplicaciones a la última versión de Log4j o apliquen las mitigaciones de forma urgente”.
CheckPoint: “Represión evolutiva, con más de 60 variaciones del exploit en menos de 24 horas“
Check Point Research señala que Apache Log4j es la biblioteca de registro java más popular, con más de 400.000 descargas en su proyecto GitHub. Es utilizada por un gran número de empresas en todo el mundo, permitiendo el registro en un amplio conjunto de aplicaciones muy conocidas. Desde el pasado viernes, los investigadores han sido testigos de lo que parece una represión evolutiva, con la introducción rápida de nuevas variaciones del exploit original, más de 60 en menos de 24 horas.
Explotar esta vulnerabilidad es sencillo y permite a los ciberdelincuentes controlar servidores web basados en java y lanzar ataques de ejecución remota de código. Por ello, es fundamental tener en cuenta que la biblioteca Log4j está integrada en casi todos los servicios o aplicaciones de Internet que conocemos, como Twitter, Amazon, Microsoft, Minecraft y otros.
Esta vulnerabilidad, debido a la complejidad para parchearla y a la facilidad para explotarla, permanecerá con nosotros durante años, a menos que las empresas y los servicios tomen medidas inmediatas para evitar ataques a sus productos.
Recomendación: “Es muy importante destacar la gravedad de esta amenaza. A primera vista, está dirigida a los mineros de criptomonedas, pero creemos que crea el tipo de ruido de fondo que los ciberdelincuentes tratarán de aprovechar para atacar toda una serie de objetivos de alto valor, como los bancos, la protección del Estado y las infraestructuras críticas. Empezamos a aplicar nuestra protección el viernes y el domingo ya habíamos evitado más de 400.000 intentos de explotar la vulnerabilidad en más de un tercio de todas las redes corporativas del mundo. Lo más preocupante es el hecho de que casi la mitad de esos intentos fueron realizados por grupos maliciosos conocidos. Los equipos de seguridad deben actuar con la máxima urgencia, ya que el potencial de daño es incalculable. La necesidad de una respuesta rápida se ve acentuada por el hecho de que se descubrió al final de la semana laboral, en el período previo a la temporada de vacaciones, cuando los técnicos pueden ser más lentos en la aplicación de medidas de protección. Es esencial una vigilancia constante y una estrategia de prevención sólida”, alerta Lotem Finkelstein, director de inteligencia de amenazas e investigación de Check Point Software Technologies.