Hace poco comentábamos sobre el fallo de Log4J y en esta publicación nos gustaría compartir información que dieron a conocer los investigadores, ya que aseguran que hackers, incluidos grupos apoyados por el estado chino pero también por Rusia, han lanzado más de 840.000 ataques contra empresas de todo el mundo desde el pasado viernes a través de esta vulnerabilidad.
El grupo de ciberseguridad Check Point dijo que los ataques relacionados con la vulnerabilidad se habían acelerado en las 72 horas desde el viernes, y en ocasiones sus investigadores estaban viendo más de 100 ataques por minuto.
El editor también observó una gran creatividad en la adaptación del ataque. A veces, aparecen más de 60 nuevas variaciones en menos de 24 horas, lo que introduce nuevas técnicas de ofuscación o codificación.
Se menciona que se incluyen «atacantes del gobierno chino», según Charles Carmakal, director de tecnología de la empresa cibernética Mandiant.
La falla de Log4J permite a los atacantes tomar el control remoto de las computadoras que ejecutan aplicaciones Java.
Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Cibernética de Estados Unidos (CISA), dijo a los ejecutivos de la industria que la vulnerabilidad era «una de las más graves que he visto en toda mi carrera, si no la más grave», según el Medios estadounidenses. Es probable que cientos de millones de dispositivos se vean afectados, dijo
Check Point dijo que en muchos casos, los hackers se apoderan de las computadoras y las usan para extraer criptomonedas o formar parte de redes de bots, con vastas redes de computadoras que pueden usarse para abrumar el tráfico de sitios web, enviar spam o para otros fines ilegales.
Para Kaspersky, la mayoría de los ataques provienen de Rusia.
El CISA y el Centro Nacional de Seguridad Cibernética del Reino Unido han emitido alertas instando a las organizaciones a realizar actualizaciones relacionadas con la vulnerabilidad Log4J, mientras los expertos intentan evaluar las consecuencias.
Amazon, Apple, IBM, Microsoft y Cisco se encuentran entre los que se apresuran a lanzar soluciones, pero no se ha informado públicamente de infracciones graves hasta que
La vulnerabilidad es la más reciente en afectar las redes corporativas, luego de que surgieron vulnerabilidades durante el año pasado en el software de uso común de Microsoft y la compañía informática SolarWinds. Según los informes, ambas vulnerabilidades fueron inicialmente explotadas por grupos de espías respaldados por el estado de China y Rusia, respectivamente.
Carmakal de Mandiant dijo que los actores respaldados por el estado chino también están tratando de explotar el error Log4J, pero se negó a compartir más detalles. Los investigadores de SentinelOne también dijeron a los medios que habían observado que los piratas informáticos chinos se aprovechaban de la vulnerabilidad.
CERT-FR recomienda realizar un análisis exhaustivo de los registros de la red. Las siguientes razones pueden usarse para identificar un intento de aprovechar esta vulnerabilidad cuando se usa en URL o ciertos encabezados HTTP como usuario-agente
Se recomienda encarecidamente utilizar la versión 2.15.0 de log4j lo antes posible. Sin embargo, en caso de dificultades para migrar a esta versión, las siguientes soluciones se pueden aplicar temporalmente:
Para las aplicaciones que utilizan las versiones 2.7.0 y posteriores de la biblioteca log4j, es posible protegerse contra cualquier ataque modificando el formato de los eventos que se registrarán con la sintaxis% m {nolookups} para los datos que proporcionaría el usuario.
Casi la mitad de todos los ataques han sido llevados a cabo por ciberatacantes conocidos, según Check Point. Estos incluyeron grupos que usan Tsunami y Mirai, malware que convierte dispositivos en botnets, o redes que se usan para lanzar ataques controlados de forma remota, como ataques de denegación de servicio. También incluyó grupos que utilizan XMRig, software que explota la moneda digital Monero.
«Con esta vulnerabilidad, los atacantes obtienen un poder casi ilimitado: pueden extraer datos confidenciales, cargar archivos en el servidor, eliminar datos, instalar ransomware o cambiar a otros servidores», dijo Nicholas Sciberras, jefe de ingeniería de Acunetix, escáner de vulnerabilidades. Fue «sorprendentemente fácil» implementar un ataque, dijo, y agregó que la falla sería «explotada durante los próximos meses».