El pasado 9 de diciembre el mundo se sorprendió con el descubrimiento de la  vulnerabilidad más crítica de la historia encontrada en la prominente biblioteca de código abierto Apache Log4j.

Apodada rápidamente “Log4Shell”, esta vulnerabilidad de día cero es increíblemente fácil de explotar y un solo activo expuesto puede no solamente poner en enorme riesgo a toda una organización, sino que está presente en la mayoría de los servidores, aplicaciones e, incluso, celulares.

 â€œCada minuto descubrimos nuevas aplicaciones que usan Log4j, lo que puede afectar no solo el código que construye una empresa, sino también los sistemas de terceros que están vigentes”, aseveró Omar Alcalá, Director de Ingeniería para Tenable América Latina y el Caribe.

De acuerdo con datos del equipo de investigación de Tenable, cada segundo se escanean 1,400 activos en busca de la vulnerabilidad Log4Shell. “Y del total de organizaciones que escanearon sus activos, el 75% encontró activos vulnerables”, resaltó Alcalá.

Su origen

La falla se descubrió por primera vez en el popular juego de Minecraft y desde entonces se ha explotado activamente, causando un gran impacto en una serie de servicios y aplicaciones como Apple, iCloud, Amazon, Tesla, Steam y el propio Minecraft.

Esta vulnerabilidad  reside  en la popular biblioteca de registro de Java de código abierto Apache y su función es capturar los datos de registro que se utilizan para diferentes acciones. La paradoja es que cuanto más madura es la organización, más datos se guardan, pero mayor es la oportunidad de explotar la falla y es más difícil controlarla para los expertos en  ciberseguridad.

Evolución de Log4Shell

Ya se han observado delincuentes con ataques de ransomware, minería de criptomonedas y ataques de denegación de servicio. Hasta ahora, se han detectado dos grupos de ransomware que se aprovechan de esta vulnerabilidad: Khonsari y Conti.

Éste último, uno de los grupos de ransomware más grandes de la actualidad, no sólo está utilizando la vulnerabilidad para explotar, sino también para moverse lateralmente dentro de una organización. Se estima que ha recaudado más de 150 millones en los últimos 6 meses y ya ha registrado su primer ataque al Ministerio de Defensa de Bélgica. El grupo Khonsari fue el primero en utilizar Log4Shell y es conocido como un “skidware” de bajo esfuerzo (script kiddie-ware). Sin embargo, el ransomware es funcional y logra encriptar archivos.

Los mineros de criptomonedas maliciosos están tratando de aprovechar la vulnerabilidad instalando software en sus sistemas para usarlo como recurso para generar criptomonedas para los atacantes. También se están instalando botnets que se utilizan para realizar ataques masivos de denegación de servicio (DDoS).

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de los Estados Unidos, CISA por sus siglas en inglés, emitió un comunicado instando a todas las organizaciones a tomar medidas inmediatas para proteger sus redes y marco como vital parchear el software con carácter de urgencia. Sin embargo, los datos de la investigación de Tenable muestran que el 30% de las organizaciones aún no han evaluado sus entornos para Log4Shell.

“En este punto, las organizaciones deben prepararse para responder a cualquier incidente y reducir el riesgo lo antes posible”, advirtió Alcalá. Para eso, dijo, necesitan tener visibilidad de su entorno y de los terceros con los que interactúan, así como conocer su superficie de ataque creando una red más segura para todos. Los sistemas y sus riesgos o fallas inminentes deben evaluarse y mitigarse constantemente.

De acuerdo con este directivo, estamos viendo ahora tan sólo “la punta del iceberg” en cuanto a los posibles daños e impacto que causará esta vulnerabilidad. “El impacto por esta vulnerabilidad ha sido masivo y estas últimas semanas hemos visto nuevos descubrimientos que magnifican el problema, por lo que  seguiremos viendo intentos y más formas de explotar Log4Shell durante este 2022, similar a  lo que ya vivimos con la vulnerabilidad de EternalBlue de Microsoft, que dio paso a temas como WannaCry”, concluyó.