¿Qué es Log4j y cuál es su relación con el récord de ataques en 2021?

El año pasado, hubo un aumento significativo en los ataques cibernéticos generales (50% más de ataques cibernéticos por semana en redes corporativas) en comparación con 2020, pues se registraron 925 ciberataques semanales por organización. Los investigadores han atribuido algunos de estos aumentos, que se concentraron hacia fines de año, a la vulnerabilidad Log4j CVE-2021-44228 descubierta en diciembre.

Una falla en Log4j, una biblioteca de Java para registrar mensajes de error en las aplicaciones, es la vulnerabilidad de seguridad de más alto perfil en Internet en este momento y tiene una puntuación de gravedad de 10 sobre 10. 

¿Dónde se usa Log4j?

La biblioteca Log4j 2 se utiliza en el software Java empresarial y, según el NCSC del Reino Unido, se incluye en los marcos de trabajo de Apache, como Apache Struts2, Apache Solr, Apache Druid, Apache Flink y Apache Swift.

¿Qué aplicaciones se ven afectadas por la falla de Log4j?

Debido a que Log4j se usa tanto, la vulnerabilidad puede afectar una amplia gama de software y servicios de muchos de los principales proveedores. Según NCSC, una aplicación es vulnerable “si consume información de un usuario que no es de confianza y la pasa a una versión vulnerable de la biblioteca de registro Log4j”.

¿Qué tan ampliamente se está explotando la falla de Log4j?

La biblioteca está desarrollada por Apache Software Foundation de código abierto y es un marco clave de registro de Java. Una falla de ejecución remota de código en Log4j, ya estaba siendo explotada en la naturaleza, Cloudfare estimó que el uso de esta vulnerabilidad en la biblioteca de registro de Java Apache Log4j que permitió la ejecución remota de código no autenticado podría haber comenzado el 1 de diciembre.

La vulnerabilidad es un Ataque de Día Cero. Para el 2 de diciembre, Cisco Talos dijo en una publicación de blog que observó actividad para la vulnerabilidad conocida como CVE-2021-44228 y aquellos que buscan indicadores de compromiso deberían extender sus búsquedas al menos hasta ese momento. Gracias a la ubicuidad de la biblioteca afectada, Talos dijo que estaba viendo un tiempo de anticipación desde que los atacantes realizaban un escaneo masivo hasta que se producían devoluciones de llamadas, y podría deberse a sistemas vulnerables pero no dirigidos, como SIEM y recopiladores de registros, activados por el explotar.

Durante el mes de diciembre, los proveedores se apresuraron a sacar parches y documentar soluciones para los productos afectados. Los resultados finales han sido parches disponibles, algunos tienen soluciones temporales y otros siguen siendo vulnerables. Ambos proveedores calificaron CVE-2021-44228 como un 10 perfecto.

EXPLOTACIONES CONOCIDAS

  • Una publicación de NCC Group se actualiza regularmente y muestra cómo se puede usar el exploit para extraer secretos de AWS, así como todo tipo de propiedades del sistema Java.
  • Un investigador de seguridad pudo desencadenar el exploit yendo a Little Bobby Tables con el nombre de su iPhone.
  • Sophos dijo que estaba viendo que los criptomineros ya estaban utilizando la vulnerabilidad.
  • En el frente más divertido, un desarrollador de mods de Minecraft pudo usar la vulnerabilidad para convertir un servidor de Minecraft en uno que jugara Doom en su lugar.

¿QUÉ DISPOSITIVOS Y APLICACIONES ESTÁN EN RIESGO? 

Desde el mes de diciembre hasta la fecha, conocer en profundidad al CVE-2021-44228 Log4Shell, establecer su superficie de ataque (es grande) y los parches disponibles, ha llevado un arduo trabajo. Básicamente, cualquier dispositivo que esté expuesto a Internet está en riesgo si ejecuta Apache Log4J, versiones 2.0 a 2.14.1. La versión 2 de Log4j (Log4j2), la versión afectada, está incluida en los marcos Apache Struts2, Solr, Druid, Flink y Swift.

En su mayoría estos ataques perseguían dispositivos Linux.

Mirai, una botnet que se dirige a todo tipo de dispositivos conectados a Internet (IoT), ha adoptado un exploit para la falla. Cisco y VMware han lanzado parches para sus productos afectados,  respectivamente. 

DETECCIÓN Y PARCHEO DE DISPOSITIVOS

  • Identificar los dispositivos conectados a Internet que ejecutan Log4j y actualizarlos a la versión 2.15.0, o aplicar las mitigaciones proporcionadas por los proveedores “inmediatamente”. 
  • Configurar alertas para sondeos o ataques en dispositivos que ejecutan Log4j.  
  • Enumerar cualquier dispositivo externo con Log4j instalado.
  • Asegurar que el centro de operaciones de seguridad actúe cada alerta con Log4j instalado.
  • Instalar un firewall de aplicaciones web (WAF) con reglas para enfocarse en Log4j.