Las agencias de seguridad cibernética en Australia, Canadá, Nueva Zelanda, el Reino Unido y los Estados Unidos emitieron una recomendación conjunta el miércoles en respuesta a la explotación generalizada de numerosas vulnerabilidades en la biblioteca de software Log4j de Apache por parte de adversarios criminales.
«Estas vulnerabilidades, especialmente Log4Shell, son graves», dijeron las agencias de noticias en las nuevas directrices. «Los actores sofisticados de amenazas cibernéticas están escaneando activamente las redes para explotar potencialmente Log4Shell, CVE-2021-45046 y CVE-2021-45105 en sistemas vulnerables. Es probable que estas vulnerabilidades se exploten con el tiempo».
Un atacante podría explotar Log4Shell (CVE-2021-44228) enviando una solicitud especialmente diseñada a un sistema vulnerable que haría que ese sistema ejecutara código arbitrario. CVE-2021-45046, por otro lado, permite la ejecución remota de código en ciertas configuraciones no predeterminadas, mientras que CVE-2021-45105 podría ser aprovechado por un atacante remoto para invocar un estado de denegación de servicio (DoS).
Desde que estas vulnerabilidades se dieron a conocer públicamente este mes, los servidores no reparados han sido asediados por grupos de ransomware hasta piratas informáticos de estados nacionales que han utilizado el vector de ataque como un medio para obtener acceso a las redes para implementar balizas, criptomineros y botnets de malware Cobalt Strike.
La evaluación de los ataques por parte de la Oficina Federal de Investigaciones (FBI) de EE. UU. También ha aumentado la posibilidad de que los actores de amenazas estén incorporando deficiencias en «esquemas de ciberdelincuencia existentes que buscan adoptar técnicas de encubrimiento cada vez más sofisticadas». Dada la gravedad de la vulnerabilidad y el probable aumento del uso, se alienta a las organizaciones a identificar, mitigar y actualizar los activos afectados lo antes posible.
Con este fin, la Agencia de Seguridad de Infraestructura y Seguridad Cibernética de los Estados Unidos (CISA) también lanzó una herramienta de escaneo Log4Shell para identificar sistemas vulnerables, que refleja una herramienta similar emitida por el Centro de Coordinación CERT (CERT / CC).
Sin embargo, la compañía israelí de seguridad cibernética Rezilion descubrió en una revisión publicada esta semana que las herramientas de escaneo comerciales no estaban lo suficientemente equipadas para detectar todos los formatos Log4j en el entorno porque las instancias a menudo están profundamente incrustadas en otro código, revelando «puntos ciegos» en tales herramientas y las limitaciones del escaneo estático.
«El mayor desafío es detectar Log4Shell dentro del software empaquetado en un entorno de producción: los archivos Java (como Log4j) se pueden anidar varias capas en otros archivos, lo que significa que una búsqueda superficial de archivos no los encontrará», dijo Yotam Perkal. jefe de investigación de vulnerabilidades en Rezilion, dijo. «Además, se pueden empaquetar en muchos formatos diferentes, lo que es un verdadero desafío cuando se buscan en otros paquetes de Java».
La divulgación pública de Log4Shell también ha llevado a varios proveedores de tecnología a implementar parches para el software afectado. Las últimas empresas en lanzar actualizaciones son NVIDIA y HPE, que se unen a una larga lista de proveedores que han publicado recomendaciones de seguridad que detallan los productos vulnerables.
El último paso dado por los gobiernos se produce cuando Apache Software Foundation (ASF) lanzó una actualización para el servidor HTTP Apache el lunes que aborda dos errores: CVE-2021-44790 (puntuación CVSS: 9,8) y CVE-2021- 44224 (puntuación CVSS : 8.2), el primero de los cuales podría estar armado con un atacante remoto para ejecutar código arbitrario y tomar el control del sistema afectado.
