La gigantesca crisis provocada por log4j aún no ha terminado, ni siquiera está cerca. Durante la semana pasada, se han descubierto nuevas vulnerabilidades en la desafortunada biblioteca de registro de Apache (cuya omnipresente vulnerabilidad es apodado “Log4Shell” en el mundo de la seguridad de la información) pero, según los expertos, no hay necesidad de entrar en pánico. A continuación, presentamos un vistazo rápido a los últimos desarrollos y cómo están respondiendo los profesionales de la seguridad.
Nuevas vulnerabilidades
Parcheo de software no es siempre un proceso muy sencillo, y en ninguna parte esto ha sido más evidente que en el fiasco de log4j. Durante la semana pasada, Apache emitió varios parches, pero con cada parche sucesivo, han surgido problemas adicionales.
El viernes, Apache lanzó su tercer parche, versión 2.17.0
El parche anterior, 2.16.0, había sido liberado después de 2.15.0-el original parche: no logró mitigar un exploit de ataque remoto que, en algunos casos, podría haber permitido el robo de datos. En otras palabras, el parche que estaba destinado a corregir la vulnerabilidad original tuvo su propio vulnerabilidad y el parche para arreglar ese parche también tuvo problemas. Buen material.
G / O Media puede obtener una comisión
Dicho todo esto, estos nuevos fallos de seguridad no son tan graves como el original y no deberían ser algo sobre lo que perder el sueño, según algunos expertos.
Es la vulnerabilidad original CVE-2021-44228, que, si no se corrige, sigue siendo el tema de las pesadillas de la ciberseguridad.
¿Existe un gusano Log4j?
Otro episodio colorido de esta saga fue un debate reciente entre los profesionales de la seguridad sobre si log4j había dado a luz a un gusano o no.
El domingo, un investigador de seguridad, Germán Fernández, afirmó que tenía vio un gusano—Un programa malicioso que se propaga automáticamente— que afectaba a los dispositivos que no habían parcheado la vulnerabilidad log4j. VX Underground, un gran repositorio en línea de muestras de malware y académicos relacionados, compartió los hallazgos del investigador: “Investigador de seguridad @ 1ZRR4H ha identificado el primer gusano Log4J. Es un robot Mirai que se propaga a sí mismo. Hemos agregado la muestra ”, cuenta de VX tuiteó. Greg Linares, otro investigador de seguridad, dijo que parecía como si el programa malicioso estuviera dirigido principalmente a enrutadores Huawei sin parches.
Sin embargo, otros expertos rápidamente arrojaron agua fría sobre algunas de estas afirmaciones:señalando que el programa no parecía ser tan funcional y que ni siquiera calificaba técnicamente como un gusano. “Realicé ingeniería inversa para este supuesto gusano log4j y no funciona en absoluto”. tuiteó Marcus Hutchins, un destacado investigador de ciberseguridad. “También hay varios errores en el código que significan que incluso si arreglaran la falla del núcleo, aún sería completamente ineficaz”.
Los expertos en seguridad tienen igualmente combatido sobre la gravedad de un gusano en el contexto de log4j. Tom Kellermann, jefe de estrategia de ciberseguridad de VMware, le dijo recientemente a ZDnet que un gusano podría ser potencialmente “armado” por una potencia extranjera hostil o un servicio de inteligencia, cuyo resultado final podría ser bastante malo.
Los intentos de explotación continúan multiplicándose
Mientras tanto, una explosión de intentos de explotación dirigidos a log4j continúa revelando nuevas estrategias de ataque.
El lunes, el Ministerio de Defensa de Bélgica reveló que se vio obligado a cerrar partes de su red después de que un grupo de piratas informáticos explotara log4j para acceder a sus sistemas. Si bien no se ha revelado mucho más sobre el incidente, es uno de los ejemplos más visibles hasta ahora del error de Apache que se usa para causar daños en el mundo real. Definitivamente no será el último.
De hecho, informes recientes muestran que grupos delictivos motivados por las finanzas se unen a la refriega, incluidos los troyanos bancarios. Además de esto, también se han detectado bandas de ransomware, actividad de ciberespionaje de estado-nación y cripto-minería. Corredores de acceso inicial—Ciberdelincuentes que piratean dispositivos y redes informáticas con la intención de cambiar y vender ese acceso a otros delincuentes (en su mayoría piratas informáticos de ransomware) – han saqueado sistemas vulnerables a log4j. Equipo de seguridad de Microsoft investigación publicada la semana pasada que mostró que “varios grupos de actividad de seguimiento que actúan como agentes de acceso han comenzado a utilizar la vulnerabilidad para obtener acceso inicial a las redes de destino”.
En resumen: ¡la diversión continúa! Continuaremos rastreando los cambios más amplios de toda esta crisis a medida que se desarrolle.
.