Una nueva vulnerabilidad ha encendido las alarmas de las empresas de todo el mundo, pues ha comenzado a causar estragos y complicaciones a la hora de operar. Se trata de Log4j, una librería de registro basada en Java (utilizada en muchos productos y servicios) que está siendo utilizada para distribuir malware.
Lo anterior podría parecer que solo afectará a unos cuantos, pero lo cierto es que cualquiera podría ser víctima, ya que la biblioteca Log4j está integrada en casi todos los servicios o aplicaciones de Internet que conocemos, como Twitter, Microsoft, Minecraft y otros.
De acuerdo con investigadores de ESET, compañía de especializada en ciberseguridad, se trata de una vulnerabilidad de ejecución remota de código (RCE, por sus siglas en inglés) descubierta por el equipo de Alibaba Cloud en noviembre y que fue parcheada en diciembre con una actualización de Log4j. Sin embargo, el viernes pasado se publicó un exploit para Log4Shell que permite a un atacante ejecutar el código de su elección en un servidor afectado.
En otras palabras, el código malicioso puede ser ejecutado desde cualquier sitio, y aunque había sido controlada hace un mes, ha logrado evolucionar, ya que en un periodo de 24 horas tuvo más de 60 variantes que pueden afectar a las plataformas que usan Log4j para que sus usuarios se registren en sus sitios.
Por otro lado, Check Point Research, empresa de ciberseguridad, reveló que actualmente este tipo de ataques se centran en la minería de criptomonedas y ante las prevenciones de las empresas (como los parches) los atacantes van por objetivos más grandes como la barrera de HTTPS (versión cifrada de navegación). Eso significa que una capa de protección no es suficiente y se requiere de varias hasta lograr una más robusta.
Según publicó BleepingComputer, ya se detectaron ataques distribuyendo distintos mineros de criptomonedas, como Kinsing, así como los códigos maliciosos Mirai y Muhstik.
Los operadores detrás de estas dos botnets (red de equipos informáticos infectados) buscan comprometer dispositivos y servidores para sumarlos a su red de equipos bajo su control para distribuir malware para minar criptomonedas y llevar adelante ataques de DDoS (de denegación de servicio).
Si el ciberdelincuente obtiene acceso a la red local, incluso si los sistemas internos no están expuestos a Internet, la misma puede ser explotada. En última instancia, una vulnerabilidad de RCE significa que un atacante no necesita tener acceso físico para ejecutar código arbitrario que podría conducir a un control completo sobre los sistemas afectados y al robo de datos confidenciales. Esto incluye tanto servidores Linux como Windows.
El reporte de Check Point, señala que las corporaciones que hasta el momento han sido más afectadas se encuentran en las siguientes regiones.
-Australia y Nueva Zelanda (46.2%)
-Europa (42.2%)
-Latinoamérica (41.8%)
-África (41.4%)
-Otras regiones del mundo (40.0%)
-Asia (37.7%)
-Estados Unidos y Canadá (36.4%)
Por el momento las empresas pueden actualizar el parche (Log4j 2.15.0) de Apache para mitigar la vulnerabilidad, así como recurrir a opciones de ciberseguridad con especialistas del ramo.
Los expertos apuntan que debido a la complejidad para parchearla y a la facilidad para explotarla, la vulnerabilidad permanecerá durante años, a menos que las empresas y los servicios tomen medidas inmediatas para evitar ataques a sus productos.
En ese sentido, ESET calificó esta vulnerabilidad con un puntaje de 10 sobre 10 en la escala de CVSS (Common Vulnerability Scoring System), por su relación a la librería utilizada por miles de aplicaciones, plataformas de comercio electrónico, videojuegos y sitios web.
SEGUIR LEYENDO: