Los de Redmond dijeron hace unos días que los exploits hasta ahora de la vulnerabilidad crítica de Apache Loh4J, conocida como Log4Shell, no se quedan sólo en las criptos. Microsoft advierte que los exploits de Log4j se extienden más allá de la minería de criptomonedas hasta el robo total.
El gigante tecnológico dijo que sus equipos de inteligencia de amenazas han estado rastreando los intentos de explotar la vulnerabilidad de ejecución remota de código (RCE) que se reveló a última hora del jueves. La vulnerabilidad afecta a Apache Log4j. Se trata de una biblioteca de registro de código abierto implementada ampliamente en servicios en la nube y software empresarial. Muchas aplicaciones y servicios hechos en Java son potencialmente vulnerables.
Microsoft advierte que los exploits de Log4j se extienden más allá de la minería de criptomonedas hasta el robo total
Los ataques que se apoderan de las máquinas para extraer criptomonedas como Bitcoin, también conocido como Cryptohacking, pueden provocar un rendimiento más lento.
Sin embargo, además de la minería de monedas, las vulnerabilidades de Log4j que Microsoft ha visto hasta ahora, incluyen actividades como el robo de credenciales. También el movimiento lateral una vez dentro y la exfiltración de datos. Además de proporcionar algunas de las plataformas y servicios en la nube más grandes utilizados por empresas, Microsoft es un importante proveedor de ciberseguridad por derecho propio. Tiene en cartera a unos 650.000 clientes de seguridad actualmente.
En su publicación, Microsoft dijo que «en el momento de la publicación, la gran mayoría de la actividad observada ha sido el escaneo. Sin embargo también ha habido y se han observado actividades de explotación y postexplotación«.
Microsoft no ha proporcionado de momento más detalles sobre ninguno de estos ataques. Sin embargo, según la publicación de Netlab360, los atacantes habrían aprovechado Log4Shell para implementar malware, incluidos Mirai y Muhstik. Estos últimos son dos botnets de Linux que se utilizan para la minería de criptomonedas y los DDoS.
Detección basada en el comportamiento
En respuesta a esta vulnerabilidad, Microsoft dijo que los equipos de seguridad deberían centrarse en algo más que la prevención de ataques. También se deberían buscar indicadores de un exploit utilizando un enfoque de detección basado en el comportamiento.
Debido a que la vulnerabilidad de Log4Shell es tan amplia y la implementación de mitigaciones lleva tiempo en entornos grandes, «alentamos a los defensores a buscar señales de postexplotación en lugar de confiar plenamente en la prevención». «La actividad posterior a la explotación observada, como la extracción de monedas o el movimiento lateral, se detectan con detecciones basadas en el comportamiento».
En cuanto a los propios productos de Microsoft que puedan tener vulnerabilidades debido al uso de Log4j, la compañía ha dicho que esta investigando el problema. En una publicación de blog separada, el Centro de Respuesta y seguridad de Microsoft escribió que sus equipos de seguridad «han estado llevando a cabo una investigación activa de nuestros productos y servicios para comprender dónde se puede usar Apache Log4j».
«Si identificamos algún impacto en el cliente, notificaremos a la parte afectada», dice la publicación de Microsoft.
Vulnerabilidad generalizada
La vulnerabilidad de Log4Shell se considera muy peligrosa debido al uso generalizado de Log4j en el software. Además, también suma que el fallo es bastante sencillo de explotar. En última instancia, la brecha RCE puede permitir al atacante acceder y controlar dispositivos de forma remota.
Log4Shell es «probablemente la vulnerabilidad más significativa en toda la década». Puede terminar siendo «la más significativa de la historia». Esto es lo que decía en Twitter el director ejecutivo de Tenable, Amit Yoran.
Según W3Techs, se estima que el 31,5% de todos los sitios web se ejecutan en servidores Apache. Según informa, la lista de empresas con infraestructura vulnerable incluye a Apple, Amazon, Twitter y Cloudflare.
«Esta vulnerabilidad está siendo ampliamente explotada por un creciente conjunto de actores de amenazas. Presenta un desafío urgente para los defensores de las redes dado su amplio uso». Esto lo dijo Jen Easterly, directora de la Agencia Federal de Seguridad de Infraestructura y Ciberseguridad (CISA) en un comunicado.