La empresa de infraestructura web Cloudflare reveló el miércoles que los actores de amenazas están intentando activamente explotar un segundo error revelado en Log4j, por lo que es imperativo que los clientes se muevan rápidamente para instalar la última versión a medida que un aluvión de ataques continúa golpeando los sistemas no parcheados con una variedad de malware.
La nueva vulnerabilidad, a la que se le asignó el identificador CVE-2021-45046, hace posible que los adversarios lleven a cabo ataques de denegación de servicio (DoS). La solución original para la ejecución remota del código. error (CVE-2021-44228 también conocido como Log4Shell) “estaba incompleto en ciertas configuraciones no predeterminadas”. Desde entonces, el problema se ha solucionado en la versión 2.16.0 de Log4j.
Esta vulnerabilidad está siendo explotada activamente y cualquiera que use Log4J debería actualizar a la versión 2.16.0 tan pronto como sea posible, incluso si se ha actualizado previamente a la 2.15.0, dijeron Andre Bluehs y Gabriel Gabor de Cloudflare.
Aún más preocupante, los investigadores de la firma de seguridad Praetorian advirtieron sobre una tercera debilidad de seguridad separada en Log4j versión 2.15.0 que puede permitir la exfiltración de datos confidenciales en ciertas circunstancias. Se han ocultado detalles técnicos adicionales de la falla para evitar una mayor explotación, pero no está claro de inmediato si esto ya se ha abordado en la versión 2.16.0.
Este descubrimiento se produce cuando los grupos avanzados de amenazas persistentes de China, Irán, Corea del Norte y Turquía, tales como Hafnium y Phosphorus, están explotando la vulnerabilidad en tantos sistemas como sea posible. Hasta el momento, se han registrado más de 1.8 millones de intentos para explotar la vulnerabilidad Log4j.
El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) dijo que también observó que los delincuentes están aprovechando la falla de Log4Shell para obtener acceso inicial a las redes objetivo que luego se vendían a otros afiliados de ransomware. Además, se han identificado docenas de familias de malware que abarcan desde mineros de monedas de criptomonedas y troyanos de acceso remoto hasta redes de bots y webshells aprovechando los errores.
Si bien es común que los actores de amenazas se esfuercen por explotar las vulnerabilidades recientemente reveladas antes de que sean remediadas, la falla de Log4j subraya los riesgos que surgen de las cadenas de suministro de software cuando una pieza clave de software se usa dentro de una amplia gama de productos en varios proveedores y es implementada por sus clientes en todo el mundo.
Esta vulnerabilidad transversal, que es independiente del proveedor y afecta tanto al software propietario como al de código abierto, dejará una amplia franja de industrias expuestas a la explotación remota, incluida la energía eléctrica, el agua, los alimentos y bebidas, la fabricación, el transporte y más, señaló la firma de ciberseguridad industrial Dragos.
A medida que los defensores de la red cierren los caminos de los exploits más simplistas y los adversarios avanzados incorporen la vulnerabilidad en sus ataques, surgirán variaciones más sofisticadas de exploits para Log4j con una mayor probabilidad de impactar directamente las redes de tecnología operativa.