La explotación masiva de la vulnerabilidad Log4Shell (CVE-2021-44228) en Apache Log4j, que se publicó por primera vez en diciembre de 2021, casi no se ha producido, después de las rápidas acciones de los profesionales de seguridad, según Chester Wisniewski de Sophos, que ha estado rastreando Log4Shell extensamente.
En un escenario comparable al que se desarrolló hace 22 años, cuando los esfuerzos de los equipos de TI de todo el mundo aseguraron que se eliminara el aguijón del Millenium Bug, Wisniewski dijo que la amenaza inmediata de que los atacantes explotaran Log4Shell se evitó porque “el La gravedad del error unió a las comunidades digital y de seguridad y impulsó a las personas a la acción”.
“Tan pronto como los detalles del error de Log4Shell quedaron claros, los servicios en la nube, los paquetes de software y las empresas más grandes e importantes del mundo tomaron medidas para alejarse del iceberg, con el apoyo de la inteligencia de amenazas compartida y la orientación práctica de la comunidad de seguridad”, escribió Wisniewski. en un blog publicado a principios de esta semana.
Basándose en la propia telemetría de Sophos, Wisniewski dijo que inmediatamente después de la divulgación de Log4Shell hubo un volumen moderado de escaneo en busca de sistemas vulnerables a medida que las personas se movían para desarrollar exploits de prueba de concepto. En una semana, esto había aumentado significativamente, alcanzando un pico unos días antes de Navidad.
Como se informó anteriormente, estos números probablemente incluían una cantidad de criptomineros oportunistas, unidades de amenazas persistentes avanzadas (APT) respaldadas por el estado de la nación y ciberdelincuentes motivados financieramente en busca de objetivos, así como una gran cantidad de compañías de seguridad legítimas, piratas informáticos éticos y probadores de penetración.
También es importante tener en cuenta que dependiendo de cómo se use e integre el código Log4J en una aplicación, se explotará de manera diferente, por lo que varios de estos escaneos habrán resultado inútiles.
Luego de este aumento inicial, la actividad luego disminuyó hasta fines de diciembre y hasta enero, lo que habría sido una reducción de la actividad de escaneo legítimo y un aumento en los ataques cibernéticos reales. Sin embargo, hubo muchos menos ataques exitosos de lo que cabría esperar y, según el equipo de Respuesta a amenazas administradas de Sophos, solo un puñado de sus clientes se vieron afectados, y en su mayoría por criptomineros.
Al igual que con el error del milenio, cuando una crisis exagerada no se materializa, las personas a menudo sugieren rápidamente que nunca hubo un problema en primer lugar, pero Wisniewski dijo que este no era el caso en absoluto con Log4Shell, y advirtió que como está enterrado tan profundo en tantos productos y servicios, sigue siendo un objetivo para los actores malintencionados, y lo será durante algún tiempo.
“[There] hay muchas otras aplicaciones más oscuras que involucran a Apache Log4J que los atacantes tardarán en descubrir y explotar”, escribió. “Estos ataques procederán a un ritmo humano y no darán como resultado picos gigantes de actividad, aunque seguirán presentando un riesgo significativo para las organizaciones que siguen siendo vulnerables”.
Un factor adicional a considerar es que los actores malintencionados, en particular los operadores de ransomware, casi siempre pasan un tiempo considerable dentro de sus redes de destino después de efectuar su compromiso inicial; este llamado tiempo de permanencia puede durar meses y se utiliza para moverse lateralmente dentro de la red de destino. sistemas, recopilando información como credenciales y extrayendo datos, antes de ejecutar las etapas finales de sus ataques. Por lo tanto, es una apuesta segura que una gran cantidad de ataques cibernéticos en los que se abusó de Log4Shell para obtener acceso inicial aún no han tenido impacto o, como dijo Wisniewski: “Solo porque hayamos sorteado el iceberg inmediato, eso no significa que Estás libre del riesgo.
“Sophos cree que el intento de explotación de la vulnerabilidad de Log4Shell probablemente continuará durante años y se convertirá en un objetivo favorito para los probadores de penetración y los actores de amenazas respaldados por el estado nacional por igual. La urgencia de identificar dónde se usa en las aplicaciones y actualizar el software con el parche sigue siendo tan crítica como siempre”, escribió.