Microsoft: las vulnerabilidades de Log4j se extienden más allá de la minería de criptomonedas hasta el robo total

Microsoft dijo el sábado que las explotaciones hasta ahora de la vulnerabilidad crítica de Apache Log4j, conocida como Log4Shell, se extienden más allá de la minería de criptomonedas y en territorios más serios, como el robo de credenciales y datos.

El gigante tecnológico dijo que sus equipos de inteligencia de amenazas han estado rastreando los intentos de explotar la vulnerabilidad de ejecución remota de código (RCE) que se reveló a última hora del jueves. La vulnerabilidad afecta a Apache Log4j, una biblioteca de registro de código abierto implementada ampliamente en servicios en la nube y software empresarial. Muchas aplicaciones y servicios escritos en Java son potencialmente vulnerables.

Hazañas más serias

Los ataques que se apoderan de las máquinas para extraer monedas criptográficas como Bitcoin, también conocido como cryptojacking, pueden provocar un rendimiento más lento.

Sin embargo, además de la minería de monedas, las vulnerabilidades de Log4j que Microsoft ha visto hasta ahora incluyen actividades como el robo de credenciales, el movimiento lateral y la exfiltración de datos. Además de proporcionar algunas de las plataformas y servicios en la nube más grandes utilizados por las empresas, Microsoft es un importante proveedor de ciberseguridad por derecho propio con 650.000 clientes de seguridad.

En su publicación del sábado, Microsoft dijo que “en el momento de la publicación, la gran mayoría de la actividad observada ha sido el escaneo, pero también se han observado actividades de explotación y posexplotación”.

En particular, “Microsoft ha observado actividades que incluyen la instalación de mineros de monedas, Cobalt Strike para permitir el robo de credenciales y el movimiento lateral, y la extracción de datos de los sistemas comprometidos”, dijo la compañía.

Microsoft no proporcionó más detalles sobre ninguno de estos ataques. VentureBeat se ha puesto en contacto con Microsoft para obtener información actualizada.

Según una publicación de Netlab 360, los atacantes han aprovechado Log4Shell para implementar malware, incluidos Mirai y Muhstik, dos botnets de Linux que se utilizan para la minería criptográfica y los ataques distribuidos de denegación de servicio (DDoS).

Detección basada en el comportamiento

En respuesta a la vulnerabilidad, Microsoft dijo que los equipos de seguridad deberían centrarse en algo más que la prevención de ataques, y también deberían buscar indicadores de un exploit utilizando un enfoque de detección basado en el comportamiento.

Debido a que la vulnerabilidad de Log4Shell es tan amplia y la implementación de mitigaciones lleva tiempo en entornos grandes, “alentamos a los defensores a buscar señales de posexplotación en lugar de confiar plenamente en la prevención”, dijo la compañía en su publicación. “La actividad posterior a la explotación observada, como la extracción de monedas, el movimiento lateral y el Cobalt Strike, se detectan con detecciones basadas en el comportamiento”.

Cobalt Strike es una herramienta legítima para las pruebas de penetración que está disponible comercialmente, pero los ciberdelincuentes han comenzado a aprovechar cada vez más la herramienta, según un informe reciente de Proofpoint. El uso de Cobalt Strike por parte de los actores de amenazas aumentó un 161% en 2020, año tras año, y la herramienta ha estado “apareciendo en los datos de amenazas de Proofpoint con más frecuencia que nunca” en 2021, dijo la compañía.

En términos de los propios productos de Microsoft que pueden tener vulnerabilidades debido al uso de Log4j, la compañía ha dicho que está investigando el problema. En una publicación de blog separada el sábado, el Centro de Respuesta de Seguridad de Microsoft escribió que sus equipos de seguridad “han estado llevando a cabo una investigación activa de nuestros productos y servicios para comprender dónde se puede usar Apache Log4j”.

“Si identificamos algún impacto en el cliente, notificaremos a la parte afectada”, dice la publicación de Microsoft.

Reparando el defecto

La vulnerabilidad de Log4Shell ha afectado de la versión 2.0 a la versión 2.14.1 de Apache Log4j, y se recomienda a las organizaciones que actualicen a la versión 2.15.0 lo antes posible. Proveedores como Cisco, VMware y Red Hat han emitido avisos sobre productos potencialmente vulnerables.

“Algo a tener en cuenta acerca de esta vulnerabilidad es que puede estar en riesgo sin siquiera saberlo”, dijo Roger Koehler, vicepresidente de operaciones de amenazas en la firma de detección y respuesta administrada Huntress, en un correo electrónico. “Muchas organizaciones empresariales y las herramientas que utilizan pueden incluir el paquete Log4j incluido, pero esa inclusión no siempre es evidente. Como resultado, muchas organizaciones empresariales se encuentran a merced de sus proveedores de software para parchear y actualizar su software exclusivo según corresponda “.

Sin embargo, los proveedores deben desarrollar e implementar parches para productos de software, y luego las empresas necesitan más tiempo para probar e implementar los parches. “El proceso puede terminar tomando bastante tiempo antes de que las empresas hayan parcheado sus sistemas”, dijo Koehler.

Mientras tanto, para ayudar a reducir el riesgo, han comenzado a surgir soluciones para los equipos de seguridad.

Posible solución alternativa

Una herramienta, desarrollada por investigadores del proveedor de seguridad Cybereason, desactiva la vulnerabilidad y permite a las organizaciones permanecer protegidas mientras actualizan sus servidores, según la compañía.

Después de implementarlo, cualquier intento futuro de explotar la vulnerabilidad Log4Shell no funcionará, dijo Yonatan Striem-Amit, cofundador y director de tecnología de Cybereason. La compañía ha descrito la solución como una “vacuna” porque funciona aprovechando la propia vulnerabilidad Log4Shell. Fue lanzado de forma gratuita el viernes por la noche.

Aún así, nadie debería ver la herramienta como una solución “permanente” para abordar la vulnerabilidad en Log4j, dijo Striem-Amit a VentureBeat.

“La idea no es que se trate de una solución a largo plazo”, dijo. “La idea es que se gane tiempo para ir ahora y aplicar las mejores prácticas: parchear su software, implementar una nueva versión y todas las demás cosas necesarias para una buena higiene de la TI”.

Vulnerabilidad generalizada

La vulnerabilidad de Log4Shell se considera muy peligrosa debido al uso generalizado de Log4j en el software y porque la falla se considera bastante fácil de explotar. En última instancia, la falla de RCE puede permitir al atacante acceder y controlar dispositivos de forma remota.

Log4Shell es “probablemente el más importante [vulnerability] en una década ”y puede terminar siendo“ el más importante de todos los tiempos ”, dijo el sábado el director ejecutivo de Tenable, Amit Yoran en Twitter.

Según W3Techs, se estima que el 31,5% de todos los sitios web se ejecutan en servidores Apache. Según se informa, la lista de empresas con infraestructura vulnerable incluye a Apple, Amazon, Twitter y Cloudflare.

“Esta vulnerabilidad, que está siendo ampliamente explotada por un creciente conjunto de actores de amenazas, presenta un desafío urgente para los defensores de las redes dado su amplio uso”, dijo Jen Easterly, directora de la Agencia Federal de Seguridad de Infraestructura y Ciberseguridad (CISA), en un comunicado. publicado el sábado.