Cerca de la mitad de las redes corporativas de todo el mundo han sido investigadas activamente por actores maliciosos que intentan encontrar una manera de explotar CVE-2021-44228, también conocida como vulnerabilidad de ejecución remota de código (RCE) Log4Shell en el marco de registro de Java Apache Log4j2, según Check. Datos puntuales.
La firma dijo que había visto intentos de explotación contra el 46,2% de las redes corporativas en Australia y Nueva Zelanda, el 42,4% en Europa, el 41,8% en América Latina, el 41,4% en África, el 37,7% en Asia y el 36,4% en América del Norte. . En el Reino Unido, el 37% de las redes corporativas ya han experimentado intentos de ciberataques; en Irlanda, esto aumenta al 49%.
Desglosadas por industria, las organizaciones presentes en la cadena de suministro de TI, como los integradores de sistemas, los revendedores de valor agregado (VAR) y los distribuidores son, con cierto margen, las más específicas, seguidas por las organizaciones del sector de la educación y la investigación, las consultorías y los proveedores de servicios administrados. . Las organizaciones del transporte, el ocio y la hostelería, y la reventa y la venta al por mayor se ven menos afectadas.
Hasta la mañana del 13 de diciembre, aproximadamente 72 horas después de la divulgación, los propios sistemas de Check Point habían detenido más de 846.000 intentos de explotar Log4Shell, el 46% de ellos realizados por grupos maliciosos conocidos.
El equipo de investigación de Check Point describió Log4Shell como una verdadera pandemia cibernética, que se propaga como la pólvora, y señaló en particular el rápido desarrollo de varias formas diferentes de explotarlo, que están dando a los actores de amenazas una ventaja clara en términos de cómo sortear las defensas. Claramente, dijo el equipo, el brote aún no ha alcanzado su punto máximo.
“Estamos viendo lo que parece ser una represión evolutiva, con nuevas variaciones del exploit original que se introducen rápidamente: más de 60 en menos de 24 horas”, dijo Lotem Finkelsteen de Check Point, director de inteligencia e investigación de amenazas.
“La cantidad de combinaciones de cómo explotarlo le da al atacante muchas alternativas para eludir las protecciones recién introducidas. Significa que una capa de protección no es suficiente, y solo una postura de seguridad de varias capas proporcionaría una protección resistente.
“Esta vulnerabilidad, debido a la complejidad de parchearla y la facilidad para explotarla, permanecerá con nosotros en los próximos años, a menos que las empresas y los servicios tomen medidas inmediatas para prevenir los ataques a sus productos”, agregó.
Mientras tanto, los investigadores de Bitdefender han estado compartiendo detalles de algunos de los ataques vistos hasta ahora en la naturaleza.
Dijo que su telemetría ya estaba detectando una serie de botnets que explotaban la vulnerabilidad para implementar puertas traseras, expandir sus redes y desplegar criptomineros ilícitos, entre otras cosas. Se sabe que la botnet Muhstik es un “adoptante temprano” particularmente entusiasta.
Además de esto, está viendo el uso de Log4Shell para implementar troyanos de acceso remoto (Rats), shells bash inversos al servicio de futuros ataques, así como la aparición de una nueva familia de ransomware, que se conoce con el nombre de Khonsari y es sistemas de focalización que ejecutan Windows.
Bitdefender instó a los defensores a auditar su infraestructura y estados de software para establecer su exposición al marco Log4j2 y aplicar los parches o mitigaciones disponibles; revisar las cadenas de suministro de software; considerar la implementación de un enfoque de defensa en profundidad; y monitorear activamente su infraestructura.
Además, señaló el equipo, también es fundamental en este caso reconocer que muchos proveedores de software y proyectos de código abierto todavía están investigando su propia exposición a Log4j2, y que se producirán más advertencias y parches durante semanas, incluso meses por venir. . Por lo tanto, hay que estar atento a las actualizaciones de los proveedores.
También se ha proporcionado orientación del NCSC del Reino Unido.