La denominada vulnerabilidad Log4Shell en la biblioteca de registro Apache Log4j2 basada en Java ha sido descrita de diversas formas como “probablemente la vulnerabilidad más crítica que hemos visto este año” por Bharat Jogi de Qualys, “una falla de diseño de proporciones catastróficas” por Erka de F-Secure. Koivunen y “una memoria flash en la línea de tiempo de vulnerabilidades significativas” por Brian Fox de Sonatype.
De hecho, a medida que las implicaciones de esta vulnerabilidad recién revelada comiencen a aclararse, será difícil encontrar un experto en seguridad que no esté extremadamente preocupado por ella. Y para seguir en las redes sociales durante el fin de semana del 11 y 12 de diciembre de 2021, mientras la comunidad de seguridad luchaba con las implicaciones de Log4Shell, se le podría perdonar por pensar que el cielo ya se había caído.
Entonces, ¿qué necesitan saber los defensores? Desafortunadamente, en este caso el melodrama es una subestimación; La reacción de la comunidad está, hasta cierto punto, totalmente justificada.
El día cero, que se rastrea como CVE-2021-44228, se hizo público a fines de la semana pasada, aunque ahora parece que se estaba explotando durante algún tiempo antes. Descubierta por primera vez en Minecraft, es una vulnerabilidad de ejecución remota de código (RCE) que, si no se mitiga, permite a un actor malintencionado ejecutar código Java arbitrario para tomar el control de un servidor de destino. Se considera casi ridículamente fácil de explotar.
El hecho de que Log4Shell sea tan singularmente peligroso es, en última instancia, una función de cuán ubicua es la herramienta Log4j2; Básicamente, está prácticamente en todas partes, y esto significa que pone múltiples servicios, incluidos los de gigantes tecnológicos como Apple, Amazon, Cisco, Microsoft, VMware y una larga lista de otros en riesgo de compromiso, junto con prácticamente cualquier servicio que utilice Apache Struts2. , Apache Solr, Apache Druid o Apache Flink en alguna capacidad.
De hecho, dijo Jason Sattler de F-Secure: “Encontrar una aplicación que no use la biblioteca Log4J puede ser más difícil que encontrar una que sí”.
“Este es el peor de los casos”, dijo Casey Ellis, director de tecnología de Bugcrowd. “La combinación del uso omnipresente de Log4j en software y plataformas, las muchas, muchas rutas disponibles para explotar la vulnerabilidad, las dependencias que harán que parchear esta vulnerabilidad sin romper otras cosas sea difícil, y el hecho de que el exploit encaja en un tweet … . Fue un fin de semana largo para mucha gente “.
Escaneo en marcha, más por seguir
Al igual que con cualquier día cero recientemente revelado, la gran mayoría de la actividad en torno a Log4Shell hasta la fecha ha estado buscando sistemas vulnerables, según el equipo del Centro de inteligencia de amenazas de Microsoft (MSTIC), que se encontraba entre los que realizaban horas extra durante el fin de semana.
Sin embargo, agregaron, ahora también están observando la plena explotación y la actividad posterior a la explotación, y en función de la naturaleza de la vulnerabilidad, esta actividad puede tomar una multitud de formas, desde el despliegue de simples criptomineros ilícitos, hasta el uso de los favoritos de todos. Cobalt Strike para permitir el robo de credenciales y el movimiento lateral, y la exfiltración de datos. No hace falta decir que seguirán los ataques de ransomware.
Por supuesto, los equipos de seguridad deben aplicar inmediatamente la actualización de software ya lanzada por Apache en Log4j2. Pero más allá de eso, Log4Shell presenta un tipo de desafío sustancialmente diferente para los equipos de seguridad, según el investigador senior de amenazas de Sophos, Sean Gallagher. “Muchas vulnerabilidades de software se limitan a un producto o plataforma específicos, como las vulnerabilidades de ProxyLogon y ProxyShell en Microsoft Exchange”, dijo. “Una vez que los defensores saben qué software es vulnerable, pueden buscarlo y parchearlo.
“Sin embargo, Log4Shell es una biblioteca que utilizan muchos productos. Por lo tanto, puede estar presente en los rincones más oscuros de la infraestructura de una organización, por ejemplo, cualquier software desarrollado internamente. Encontrar todos los sistemas que son vulnerables debido a Log4Shell debería ser una prioridad para la seguridad de TI.
“Sophos espera la velocidad con la que los atacantes están aprovechando y utilizando la vulnerabilidad podría sólo intensificar y diversificar encima los próximos días y semanas ”, dijo.
“Una vez que un atacante ha asegurado el acceso a una red, puede seguir cualquier infección. Los equipos de seguridad de TI deben realizar una revisión exhaustiva de la actividad en la red. para detectar y eliminar cualquier rastro de intrusos, incluso si solo parece un molesto software malicioso “.
Los defensores con sistemas que no se pueden actualizar de inmediato también pueden aplicar una solución recientemente lanzada desarrollada por Cybereason, que se puede descargar de GitHub y solo requiere habilidades básicas de Java para implementar.
Ellis de Bugcrowd dijo que la vacuna Cybereason era una gran opción como último recurso. “Actualmente, muchas organizaciones están luchando por inventariar dónde existe Log4j2 en su entorno y la actualización de un componente como este requiere un análisis de dependencia para evitar romper un sistema en la búsqueda de corregir una vulnerabilidad.
“Todo esto se suma a mucho trabajo, y tener una herramienta de ‘disparar y olvidar’ para limpiar cualquier cosa que se haya perdido al final parece un escenario en el que muchas organizaciones se encontrarán en los próximos años. semanas.
“Otro escenario en el que podría ser útil es la prevención rápida de emergencias, por ejemplo, si aparece una pieza de malware autopropagable como WannaCry antes de que se complete el parche”, agregó.