Un mes después de la divulgación de CVE-2021-44228, también conocido como Log4Shell, una vulnerabilidad crítica en el paquete Apache Log4j Java, hasta el 40 % de las nuevas descargas aún corren el riesgo de verse comprometidas a pesar de la disponibilidad de versiones seguras, lo que representa una amenaza para el todo el tejido de internet.
Los datos recopilados por Sonatype, especialista en automatización de la cadena de suministro, revelan que Log4j, un componente crucial de literalmente miles de herramientas, desde productos de consumo hasta software empresarial y aplicaciones web, se ha descargado más de 10 350 000 veces desde que se reveló Log4Shell, y que más de El 40% de esas descargas fueron de versiones vulnerables.
Solo en el Reino Unido, dijo Sonatype, el 44,7 % de las 121 483 descargas de Log4j en un día no especificado durante la última semana fueron vulnerables, y el día anterior, el 43 % de las 208 259 descargas estuvieron en riesgo.
“El hecho de que todavía estemos enfrentando porcentajes tan altos de descargas vulnerables es indicativo de un problema mucho mayor con la seguridad de la cadena de suministro”, dijo Ilkka Turunen, director de tecnología de campo de Sonatype.
“Si las empresas no entienden lo que hay en su software, no podrán actuar con la velocidad necesaria cuando surjan amenazas y, en este caso, dada la enorme popularidad de Log4j, esto las expone a un riesgo significativo.
“Afortunadamente, existen versiones seguras del componente disponibles, por lo que para aquellas empresas que han actuado rápidamente, su riesgo se ha reducido significativamente”, dijo. “Sin embargo, esto debe servir como una llamada de atención urgente de que las empresas deben comprender qué hay en su software, dónde se encuentran las dependencias y no aprovechar los componentes vulnerables cuando los seguros están disponibles”.
Aunque la escala de componentes inseguros que se utilizan sigue siendo inaceptablemente alta, hay algunas señales de que los equipos de TI están respondiendo mejor en este punto: desde el 5 de enero, Sonatype dijo que había visto una tasa de adopción del 40 % en el número de Log4j seguro más reciente. versiones – 2.17 y 2.17.1 – siendo descargadas.
Con los directores de CISA de EE. UU. diciendo ayer que, aunque aún no se han descubierto ataques cibernéticos a gran escala a través de Log4Shell, esperan que la vulnerabilidad siga en uso “en el futuro”, CVE-2021-44228 sigue siendo un problema vivo para los defensores, con mucho la atención se centró en la posibilidad de su uso en ataques de ransomware, comprensible dado el alto perfil que tales incidentes han ganado en los últimos 18 meses.
Una gran cantidad de empresas de seguridad han estado buscando activamente instancias de Log4j vulnerables y operadores de ransomware que se aprovechen de ellas, aunque según CISA aún no se han detectado ataques importantes, lo que sugiere que los equipos de ransomware pueden estar esperando su momento por ahora.
De particular preocupación en los últimos días es una cepa denominada NightSky, que ahora parece estar extendiéndose entre los usuarios de VMware Horizon que ejecutan productos vulnerables a Log4Shell. Esto se produce después de una advertencia la semana pasada de los expertos cibernéticos del NHS de que un grupo de amenazas no especificado estaba apuntando a los servidores VMware Horizon para establecer la persistencia en las redes de destino, inyectando shells web maliciosos que luego podrían usarse para llevar a cabo más actividades maliciosas.
Microsoft dijo que un grupo de amenazas probablemente con sede en China y rastreado como DEV-0401 probablemente estaba implementando NightSky a través de Log4Shell, a partir del martes 4 de enero de 2022 o alrededor de esa fecha. , y parece estar a favor del uso de una infraestructura de comando y control que suplanta los dominios legítimos de las empresas de seguridad, incluidas las grandes armas como Sophos y Trend Micro.
“Hemos observado que muchos atacantes existentes agregan explotaciones de estas vulnerabilidades en sus kits y tácticas de malware existentes, desde mineros de monedas hasta ataques prácticos con el teclado”, escribió el equipo cibernético de Microsoft en una actualización publicada el lunes 10 de enero.
“Es posible que las organizaciones no se den cuenta de que sus entornos ya pueden estar comprometidos. Microsoft recomienda a los clientes que realicen una revisión adicional de los dispositivos en los que se descubran instalaciones vulnerables. En este momento, los clientes deben asumir que la amplia disponibilidad de código de explotación y capacidades de escaneo es un peligro real y presente para sus entornos”, dijo.