El parche Log4j ya está disponible, pero India es el principal destino de devolución de llamadas para dispositivos vulnerables

Gracias a la rápida respuesta de las empresas de seguridad globales, hasta ahora ha habido pocos ataques cibernéticos de importancia aprovechando las vulnerabilidades en Apache Log4j, dijo Chester Wisniewski, científico investigador principal de Sophos, en un blog. Sin embargo, Sophos cree que la amenaza inmediata de que los atacantes explotaran masivamente Log4Shell se evitó porque la gravedad del error unió a las comunidades digital y de seguridad y motivó a las personas a actuar.

La vulnerabilidad de Log4j interrumpió los servidores de los principales gigantes de la tecnología web, como Microsoft, Amazon, Apple, etc. Para los no iniciados, Log4j es una biblioteca de registro muy común utilizada por aplicaciones en todo el mundo. El registro permite a los desarrolladores ver toda la actividad de una aplicación. La vulnerabilidad es grave porque explotarla podría permitir a los piratas informáticos controlar los servidores web basados ​​en Java y lanzar lo que se denominan ataques de ‘ejecución remota de código’ (RCE). En palabras simples, la vulnerabilidad podría permitir que un hacker tome el control de un sistema.

Los datos de Sophos muestran los principales destinos de devolución de llamadas en todo el mundo a los que se dirigen los dispositivos vulnerables (sin parches) para recuperar una carga útil de Java. Esto lleva a India a la posición número uno y destaca a Turquía, Brasil, EE. UU. e incluso Australia. Es difícil especular por qué estas regiones son los principales destinos para las devoluciones de llamadas. Una de las razones que da Wisniewski son los participantes activos en los programas de recompensas por errores, que esperan ganar dinero siendo los primeros en alertar a las organizaciones de que están expuestos.

Volumen de explotación

Wisniewski explica que en los primeros días, el volumen de escaneos fue moderado, sin embargo, dentro de una semana, hubo un aumento significativo en la detección de escaneos, con números que alcanzaron su punto máximo entre el 20 y el 23 de diciembre de 2021.

Sin embargo, desde finales de diciembre hasta enero de 2022, la curva de intentos de ataque se estabilizó y disminuyó. “Esto no significa que el nivel de amenaza también haya disminuido: en ese momento, un porcentaje cada vez mayor de detecciones probablemente eran ataques reales, y menos provenían de investigadores que monitoreaban el estado de los parches más recientes”, señaló el investigador.

..la amenaza continúa

Según Wisniewski, la amenaza aún no ha terminado. «El hecho de que hayamos sorteado el iceberg inmediato no significa que estemos libres del riesgo».

Como han señalado otros, algunos de los análisis de ataques iniciales pueden haber resultado en que los atacantes aseguraran el acceso a un objetivo vulnerable, pero en realidad no abusaron de ese acceso para entregar malware, por ejemplo, por lo que la violación exitosa permanece sin ser detectada.

En el pasado, Sophos ha observado que países como Irán y Corea del Norte aprovechan las vulnerabilidades de VPN para obtener acceso a las redes de los objetivos e instalar puertas traseras antes de que los objetivos hayan tenido la oportunidad de implementar los parches, y luego esperan meses antes de usar ese acceso en un ataque. .

Sophos cree que el intento de explotación de la vulnerabilidad Log4Shell probablemente continuará durante años y se convertirá en el objetivo favorito de los evaluadores de penetración y los actores de amenazas respaldados por los estados nacionales por igual. “La urgencia de identificar dónde se usa en las aplicaciones y actualizar el software con el parche sigue siendo tan crítica como siempre”, agregó el investigador.