Los actores de amenazas activan activamente los servidores no reparados afectados por los recién identificados «Log4Shell«Una vulnerabilidad en Log4j para la instalación de criptomonedas Cobalt Strike y equipos de reclutamiento en la botnet, aunque las señales de telemetría indican un abuso del error nueve días antes de que saliera a la luz».

Netlab, la división de seguridad de red del gigante tecnológico chino Qihoo 360, ha descubierto amenazas como Mirai y Muhstik (también conocidas como Tsunami), que apuntan a sistemas vulnerables para propagar infecciones y aumentar su poder de cómputo para organizar la denegación de servicio distribuida (DDoS). ) ataca para derrotar al objetivo y dejarlo inutilizable. Muhstik fue visto anteriormente explotando una falla de seguridad crítica en Atlassian Confluence (CVE-2021-26084, puntaje CVSS: 9.8) a principios de septiembre de este año.

El último desarrollo se produce cuando se hizo evidente que la vulnerabilidad se había visto comprometida al menos más de una semana antes de su lanzamiento el 10 de diciembre, y empresas como Auvik, ConnectWise Manage y N-able confirmaron que sus servicios se vieron afectados, ampliando el alcance de el defecto a más fabricantes.

«La evidencia más antigua que hemos encontrado hasta ahora [the] El exploit Log4j es 2021-12-01 04:36:50 UTC, «Matthew Prince, CEO de Cloudflare tuiteó Domingo. «Esto sugiere que estuvo en estado salvaje al menos nueve días antes de la publicación. Sin embargo, no verá evidencia de explotación masiva hasta después de la publicación». En un informe independiente, Cisco Talos dijo que había registrado actividad de atacantes relacionada con errores desde el 2 de diciembre.

Rastreado por CVE-2021-44228 (puntaje CVSS: 10.0), el error se refiere a un caso de ejecución remota de código en Log4j, un marco de trabajo de registro Apache de código abierto basado en Java que se usa ampliamente en entornos empresariales para registrar eventos y mensajes generados por software. aplicaciones.

Todo lo que se requiere del enemigo para explotar la vulnerabilidad es enviar una cadena especialmente diseñada que contenga un código malicioso que se registre con Log4j versión 2.0 o superior, lo que efectivamente permite al actor de la amenaza recuperar cualquier código del dominio del atacante a un servidor sensible. y toma el control.

«La mayoría de los ataques que Microsoft ha visto hasta ahora han involucrado escaneos masivos de atacantes que intentan impresionar a los sistemas vulnerables, así como escaneos de compañías e investigadores de seguridad», dijo el equipo de Microsoft 365 Defender Threat Intelligence en un análisis. «Debido a la naturaleza de la vulnerabilidad, una vez que un atacante tiene acceso y control total sobre la aplicación, puede lograr una gran cantidad de objetivos».

Específicamente, un gigante técnico con sede en Redmond dijo que había detectado una serie de actividades maliciosas, incluida la instalación de Cobalt Strike, para permitir el robo de credenciales y el movimiento lateral, el despliegue de monedas y el filtrado de datos de máquinas comprometidas.

La situación también provocó que las empresas intentaran corregir este error. El proveedor de seguridad de red SonicWall ha revelado en un aviso que su solución de seguridad de correo electrónico se ve afectada, diciendo que está trabajando para liberar una solución para el problema mientras continúa investigando el resto de su línea. El proveedor de tecnología de virtualización VMware también advirtió sobre «intentos de explotación al aire libre», y agregó que está lanzando parches para muchos de sus productos.

Casos como estos ilustran cómo un solo error, cuando se descubre en paquetes integrados en una gran cantidad de software, puede tener un efecto dominó que actúa como un canal para futuros ataques y representa un riesgo crítico para los sistemas afectados. «Todos los actores en la amenaza que necesitan para lanzar un ataque son una línea de texto», dijo John Hammond, investigador senior de seguridad en Huntress Labs. «No hay un objetivo obvio para esta vulnerabilidad: los piratas informáticos utilizan el método de rociar y rezar para causar destrucción».