Noticias
Log4Shell, una amenaza a la ciberseguridad que no entiende de límites
Log4Shell sigue avanzando a pasos agigantados y parece que su proceso de expansión no tendrá límites. La situación se ha vuelto más compleja debido a que los proyectos de software que incluían Log4j (la biblioteca Java de código abierto) tenían a su vez otros componentes de terceros o marcos de desarrollo, englobando así mismo otras aplicaciones.
Por todo ello, los investigadores de Cisco Talos señalan que las empresas seguirán mostrándose vulnerables a la hora de explotar Log4j, y aunque existan parches, éstos podrían llegar a ser insuficientes ante el avance sin precedentes que se espera durante el año 2023. El proceso de integración de Log4j es tan grande que resulta casi imposible detectar en qué zonas se encuentran las vulnerabilidades de software en un entorno particular.
Hay que recordar que Log4J es un sistema de logs muy común utilizado por desarrolladores Web, aplicaciones basadas en Java y también por otros lenguajes de programación, para registrar/logar información sobre la aplicación.
Log4Shell sigue cosechando grandes éxitos y amenazas para la ciberseguridad empresarial, afectando a millones de aplicaciones institucionales al año, y a pesar de frenarlo con parches, su crecimiento no se frenará durante bastante tiempo. Que los parches sean útiles dependerá de los propios desarrolladores que usaron este componente en su software para lanzar actualizaciones.
De hecho, a fecha de 1 de octubre, el 72% de las organizaciones todavía tenían activos vulnerables a Log4Shell, y aunque actualmente se ha reducido en un 10%, aún uno de cada tres activos tiene una recurrencia de Log4Shell después de solventarlo. Lo cual demuestra que sigue siendo un grave problema.
El atacante puede modificar el mensaje que se va a almacenar en el log para confundir a Log4j y conseguir así realizar acciones maliciosas. Se tiende a confiar en datos que no son seguros, viéndose mermada por completo la vulnerabilidad integral.
Los orígenes de Log4Shell
Habría que remontarse a diciembre de 2021 para encontrar a Log4Shell, registrado como CVE-2021-44228 en Log4j. Al principio se lanzaron parches para detener su proliferación rápidamente, pero luego éstos resultaron ser insuficientes.
Existe un aumento considerable en la cantidad de intentos de explotación de Log4Shell, tal y como se comprueba analizando la telemetría del sistema de detección de intrusos en la red de código abierto Snort. De hecho, en enero de 2022 se rozaron los casi 70 millones de intentos de explotación, pero se fueron reduciendo hasta abril. El año se ha cerrado con una media mensual de 50 millones.
Con las cifras en la mano nos damos cuenta que los atacantes siguen apostando por esta herramienta como método de vulnerabilidad. Así pues, ha ido de la mano con el phishing, que se posicionó como el principal elemento de infección durante la primera mitad del año pasado. En el tercer trimestre de 2022 ganaron peso los exploits de aplicaciones, que se posicionaron en el tercer puesto de vectores de infección.
¿Quiénes están detrás de los ataques?
Los atacantes que explotan Log4Shell varían, pues son desde ciberdelincuentes que implementan mineros de criptomonedas y ransomware y grupos de ciberespionaje patrocinados por los propios estados.
De igual modo, sobre el 60% de los casos de respuesta a incidentes que se investigaron por Arctic Wolf durante 2022 se atribuyeron a tres grupos de ransomware: LockBit, Conti y BlackCat, siendo el coste medio de cada incidente superior a los 90.000 dólares.
En otro orden, existen grupos APT que están llevando a cabo acciones de ciberespionaje profundas, incluido Lazarus de Corea del Norte. Dichos actores podrían estar asociados con el Cuerpo de la Guardia Revolucionaria Islámica de Irán y los grupos Deep Panda y APT41 vinculados a China.
-
A fondoHace 6 días
Cómo mejorar la gestión de identidades y accesos en tu empresa
-
SolucionesHace 1 día
Veeam se integra con Palo Alto Networks para mejorar la seguridad y reforzar la resiliencia de datos
-
NoticiasHace 4 días
Detenido en Madrid un responsable de la organización detrás del ransomware LockBit