Microsoft advirtió esta semana a las organizaciones sobre el alto potencial de los actores de amenazas para expandir el uso de las vulnerabilidades de ejecución remota de código (RCE) recientemente descubiertas en el marco de registro de Apache Log4j para llevar a cabo una variedad de ataques.
La compañía dijo que sus investigadores de seguridad habían observado una gran cantidad de actividad de escaneo e intentos de explotación dirigidos a las fallas en las últimas semanas de diciembre.
Muchos grupos de ataque, incluidos los actores de estados nacionales y los grupos de ransomware, agregaron exploits para las vulnerabilidades a sus kits de ataque y los están utilizando para establecer shells inversos, colocar kits de herramientas de acceso remoto y llevar a cabo ataques prácticos de teclado en sistemas vulnerables. Las puertas traseras y los shells inversos que Microsoft ha observado que se implementan a través de las fallas de Log4j incluyen Bladabindi, HabitsRAT, Meterpreter, Cobalt Strike y PowerShell.
“En este momento, los clientes deben asumir que la amplia disponibilidad de código de explotación y capacidades de escaneo es un peligro real y presente para sus entornos”, dijo el lunes el grupo de seguridad de Microsoft en un comunicado. actualizar una entrada de blog la compañía publicó por primera vez el 11 de diciembre. "Es posible que las organizaciones no se den cuenta de que sus entornos ya pueden estar comprometidos".
Apache Log4j es un componente de registro de código abierto ampliamente utilizado que está presente en casi todos los entornos donde se utiliza una aplicación Java. Esto incluye servidores orientados a Internet, sistemas back-end y componentes de red, aplicaciones de terceros, servicios que usan esas aplicaciones, en entornos de nube y en sistemas de control industrial y sistemas SCADA.
El 9 de diciembre, Apache Software Foundation reveló un RCE crítico (CVE-2021-44228) vulnerabilidad en el componente que les dio a los atacantes una forma relativamente trivial de obtener el control completo de los sistemas vulnerables. La divulgación provocó una preocupación generalizada y advertencias urgentes de los expertos en seguridad sobre la necesidad de que las organizaciones actualicen rápidamente su versión de Log4j debido a la actividad de escaneo generalizada y los intentos de explotación. Menos de una semana después de que se revelara la primera falla, la Fundación Apache reveló una segunda falla en Log4j (CVE-2021-45046) y luego, unos días después, una tercera (CVE-2021-45105).
La prevalencia generalizada de la falla, y la facilidad con la que se puede explotar, ha atraído el interés de una amplia gama de actores de amenazas. En las semanas transcurridas desde que se reveló la primera falla, numerosos proveedores informaron haber observado operadores de ransomware; mineros de criptomonedas; actores de estados-nación de países como Irán, Turquía y China; y otros que intentan explotar los defectos.
Los actores de amenazas persistentes avanzadas (APT) que se han observado explotando las fallas incluyen al grupo Hafnium con sede en China que fue responsable de llevar a cabo ataques de día cero contra el llamado conjunto de fallas de Exchange Server ProxyLogon el año pasado. Otros actores de APT que explotan las fallas de Log4j incluyen Phosphorous, un operador de ransomware iraní, y Aquatic Panda, un actor con sede en China que CrowdStrike frustrado en medio de un ataque dirigido a una gran organización académica unos días después de que se revelara la primera falla.
En ese ataque, observaron los investigadores de CrowdStrike, el actor de amenazas intentó ejecutar comandos de Linux en el host de Windows de la organización víctima, dice Param Singh, vicepresidente del servicio de búsqueda de amenazas Falcon OverWatch de CrowdStrike. Cuando fallaron los intentos de ejecutar los comandos de Linux, el actor de amenazas pasó rápidamente a utilizar los servicios nativos de Windows o los llamados binarios living-off-the-land (LOLBins).
Este comportamiento llamó la atención de los cazadores de amenazas de OverWatch, dice Singh. “La maniobra rápida y el cambio de tácticas que usó el actor de amenazas, desde los comandos de Linux hasta el aprovechamiento de los LOLBins de Windows, es indicativo de una actividad práctica interactiva en el teclado en lugar de un ataque con guión oportunista”.
Continúa la actividad de escaneo generalizada
Según Microsoft, la actividad de escaneo representa la mayor parte del tráfico de ataque que ha observado hasta ahora. Gran parte de la actividad parece provenir de investigadores de seguridad y equipos rojos que buscan fallas en sus redes. Pero entre los que buscan fallas se encuentran los actores de amenazas, incluidos los operadores de botnets como Mirai, los que se dirigen a sistemas elásticos vulnerables para implementar mineros de criptomonedas y los atacantes que buscan implementar la puerta trasera Tsunami en sistemas Linux.
En muchas de estas campañas, los atacantes ejecutan escaneos simultáneos para sistemas Windows vulnerables y sistemas Linux. Los atacantes están utilizando comandos Base 64 incluidos en JDNI:ldap:// para ejecutar comandos bash en sistemas Linux y PowerShell en Windows, dijo Microsoft.
Microsoft y muchos otros expertos en seguridad han instado a las organizaciones a implementar herramientas de escaneo y scripts para identificar las vulnerabilidades de Log4j en su entorno. Pero debido a la forma en que funciona el empaquetado de Java, la vulnerabilidad puede estar enterrada en varias capas dentro de las aplicaciones y no ser fácilmente visible para los escáneres, dicen los expertos en seguridad.
Rezilión, por ejemplo, probó recientemente varias herramientas de escaneo comerciales y de código abierto para ver cuán efectivas serían en la detección de archivos Java donde Log4j estaba anidado y empaquetado en varios formatos. Las herramientas de escaneo que probó incluyeron las de Google, Palantir, Aqua Security, Mergebase y JFrog. El ejercicio mostró que, si bien algunos escáneres eran mejores que otros, ninguno de ellos pudo detectar Log4j en todos los formatos.
Desde las pruebas de Rezilion, JFrog y Mergebase han actualizado sus herramientas, dice Yotam Perkal, líder de investigación de vulnerabilidades en Rezilion.
“Mergebase agregó compatibilidad con el formato PAR, y JFrog agregó compatibilidad con PAR y ZIP, además de mejorar su compatibilidad con archivos JAR sombreados”, señala. “Si bien es difícil dar una estimación precisa, anidar/incrustar es una práctica común entre los desarrolladores y vemos archivos jar anidados en la mayoría de los entornos de producción, por lo que la probabilidad de instancias no detectadas es alta”.
