Resumen: Los actores de amenaza siguen aprovechando las vulnerabilidades de Log4j para desplegar malware, botnets y criptomineros.
A principios de diciembre del 2021, fue detectada una vulnerabilidad en las bibliotecas de registro basadas en Java Apache Log4j que ejecutaban la versión 2.14.1 y anteriores.
Rastreado como CVE-2021-44228 y denominado como Log4Shell, el fallo se trataba de un error de ejecución remota de código de severidad crítica y tipo zero-day.
Más adelante, con la finalidad de mitigar el problema, Apache, el desarrollador de Log4j lanzó la versión 12.15.0. No obstante, esto no fue suficiente y días después fueron descubiertas múltiples vulnerabilidades junto con brechas de seguridad, que prolongaron la resolución de la falla hasta la llegada de la versión 2.17.0.
Sin embargo, hace algunas horas, el equipo de Barracuda Networks compartió en un informe, que muchos equipos continúan siendo vulnerables, esto debido a que los usuarios aún ejecutan versiones anteriores a la 2.15.0.
Los investigadores de Barracuda Networks, detectaron una serie de cargas útiles y criptomineros que siguen siendo desplegadas en los dispositivos objetivo que aún son vulnerables.
Dentro de las cargas útiles detectadas, una de las más peligrosas fue la red de bots apodada como Mirai, una amenaza que en manos de un atacante podría ser utilizada para realizar ataques DDoS contra un objetivo específico, agotando sus recursos e interrumpiendo sus servicios en línea.
Otras cargas útiles que han sido desplegadas recientemente con el uso de Log4Shell: DDoS: El malware BillGates DDoS: Muhstik Criptominero: Kinsing Criptominero: XMRig
En el informe, los investigadores también destacaron que los grupos ransomware han estado aprovechando los exploits de Log4j, más como una amenaza interna para moverse dentro de las redes comprometidas, tal es el caso del ransomware Conti, que utilizó los exploits de Log4Shell para propagarse lateralmente en la red de VMware vCenter. Así mismo, tras llevar a cabo un análisis más profundo, el equipo de Barracuda determinó que en su gran mayoría los ataques o intentos de explotación tienen direcciones IP que provienen de países como Estados Unidos, Japón, Rusia y Europa central.
Finalmente y con el objetivo de mitigar el posible riesgo de explotación, se le recomienda a los usuarios que actualicen sus dispositivos a la última versión disponible. Recomendaciones: Se le insta a todos los administradores a actualizar Log4j a la versión 2.17.1 o posteriores, así como siempre asegurarse de mantener todas sus aplicaciones actualizadas. Referencias: https://blog.barracuda.com/2022/03/02/threat-spotlight-attacks-on-log4shell-vulnerabilities/ |
SÍGUENOS