Clau per emportar
- Els pirates informàtics van publicar un codi que revelava un exploit en una biblioteca de registre de Java molt utilitzada.
- Els detectius de ciberseguretat van notar una exploració massiva al web buscant servidors i serveis explotables.
-
L'Agència de Ciberseguretat i Seguretat d'Infraestructures (CISA) ha instat els venedors i usuaris a pegar i actualitzar el seu programari i serveis amb urgència.
El panorama de la ciberseguretat està en flames a causa d'una vulnerabilitat fàcilment explotable en una popular biblioteca de registre de Java, Log4j. L'utilitzen tots els programes i serveis populars i potser ja ha començat a afectar l'usuari quotidià d'ordinadors i telèfons intel·ligents.
Els experts en ciberseguretat estan veient una gran varietat de casos d'ús de l'explotació Log4j que ja comencen a aparèixer a la web fosca, que van des de l'explotació de servidors de Minecraft fins a problemes més destacats que creuen que podrien afectar Apple iCloud..
"Aquesta vulnerabilitat de Log4j té un efecte de goteig, que afecta tots els grans proveïdors de programari que puguin utilitzar aquest component com a part del seu paquet d'aplicacions", va dir John Hammond, investigador sènior de seguretat de Huntress, a Lifewire per correu electrònic. "La comunitat de seguretat ha descobert aplicacions vulnerables d' altres fabricants de tecnologia com Apple, Twitter, Tesla, Cloudflare, entre d' altres. Mentre parlem, la indústria encara està explorant la gran superfície d'atac i el risc que suposa aquesta vulnerabilitat."
Foc al forat
La vulnerabilitat rastrejada com a CVE-2021-44228 i anomenada Log4Shell, té la puntuació de gravetat més alta de 10 al sistema de puntuació de vulnerabilitats comú (CVSS).
GreyNoise, que analitza el trànsit d'Internet per recollir senyals de seguretat destacats, va observar per primera vegada l'activitat d'aquesta vulnerabilitat el 9 de desembre de 2021. Va ser llavors quan van començar a aparèixer els exploits de prova de concepte (PoC) armats, que van provocar un augment ràpid de l'escaneig i l'explotació pública el 10 de desembre de 2021 i durant el cap de setmana.
Log4j està molt integrat en un ampli conjunt de marcs DevOps i sistemes informàtics empresarials i en programari d'usuari final i aplicacions populars al núvol.
Per explicar la gravetat de la vulnerabilitat, Anirudh Batra, analista d'amenaces de CloudSEK, va dir a Lifewire per correu electrònic que un actor d'amenaces podria explotar-la per executar codi en un servidor remot.
"Això ha deixat també vulnerables fins i tot jocs populars com Minecraft. Un atacant pot explotar-ho només amb la publicació d'una càrrega útil a la caixa de xat. No només Minecraft, sinó també altres serveis populars com iCloud Steam també són vulnerables". Batra va explicar, i va afegir que "activar la vulnerabilitat en un iPhone és tan senzill com canviar el nom del dispositiu."
Punta de l'iceberg
L'empresa de ciberseguretat Tenable suggereix que, com que Log4j s'inclou en una sèrie d'aplicacions web i és utilitzat per diversos serveis al núvol, no es coneixerà l'abast complet de la vulnerabilitat durant algun temps.
L'empresa apunta a un dipòsit de GitHub que fa un seguiment dels serveis afectats, que en el moment d'escriure enumera unes tres dotzenes de fabricants i serveis, inclosos els populars com Google, LinkedIn, Webex, Blender i altres esmentats anteriorment.
A mesura que parlem, la indústria encara està explorant la gran superfície d'atac i el risc que suposa aquesta vulnerabilitat.
Fins ara, la gran majoria de l'activitat ha estat escanejant, però també s'han vist activitats d'explotació i postexplotació.
"Microsoft ha observat activitats com la instal·lació de miners de monedes, Cob alt Strike per permetre el robatori de credencials i el moviment lateral, i l'exfiltració de dades de sistemes compromesos", escriu el Microsoft Threat Intelligence Center.
Baixa les escotilles
No és d'estranyar, doncs, que a causa de la facilitat d'explotació i la prevalença de Log4j, Andrew Morris, fundador i CEO de GreyNoise, digui a Lifewire que creu que l'activitat hostil continuarà augmentant durant els propers dies.
La bona notícia, però, és que Apache, els desenvolupadors de la biblioteca vulnerable, ha publicat un pedaç per neutralitzar els exploits. Però ara depèn dels fabricants de programari individuals modificar les seves versions per protegir els seus clients.
Kunal Anand, CTO de l'empresa de ciberseguretat Imperva, va dir a Lifewire per correu electrònic que, tot i que la majoria de la campanya adversa que explota la vulnerabilitat es dirigeix actualment als usuaris empresarials, els usuaris finals han de mantenir-se vigilants i assegurar-se que actualitzen el programari afectat. tan aviat com els pegats estiguin disponibles.
El sentiment es va fer ressò per Jen Easterly, directora de l'Agència de Seguretat Cibernètica i Infraestructura (CISA).
"Els usuaris finals dependran dels seus proveïdors, i la comunitat de proveïdors ha d'identificar, mitigar i aplicar immediatament pedaços a l'àmplia gamma de productes que utilitzen aquest programari. Els venedors també s'han de comunicar amb els seus clients per assegurar-se que els usuaris finals ho sàpiguen. que el seu producte conté aquesta vulnerabilitat i hauria de prioritzar les actualitzacions de programari", va dir Easterly mitjançant un comunicat.