Por: Danny Palmer
Los atacantes cibernéticos están haciendo más de cientos de intentos para explotar una vulnerabilidad de seguridad crítica en la librería de Java Apache Log4j cada minuto, advirtieron los investigadores de seguridad.
La falla de Log4j (también conocida ahora como “Log4Shell”) es una vulnerabilidad de día cero (CVE-2021-44228) que salió a la luz por primera vez el 9 de diciembre, con advertencias de que puede permitir la ejecución de código remoto no autenticado y acceso a los servidores.
Log4j se utiliza en muchas formas en software empresarial y de código abierto, incluidas las plataformas en la nube, aplicaciones web y servicios de correo electrónico, lo que significa que existe una amplia gama de software que podría estar en riesgo por los intentos de aprovechar la vulnerabilidad.
Los atacantes ya están intentando escanear millones de sitios en el Internet en busca de instancias vulnerables de Log4j. Los investigadores de ciberseguridad en Check Point advierten que hay más de 100 intentos de explotar la vulnerabilidad cada minuto.
Mientras tanto, los investigadores de ciberseguridad de Sophos han advertido que han detectado cientos de miles de intentos de ejecutar código de forma remota utilizando la vulnerabilidad Log4j en los días posteriores a su divulgación pública, junto con escaneos en busca de la vulnerabilidad.
Ya hay ejemplos activos de atacantes que intentan aprovechar las vulnerabilidades de Log4j para instalar malware para la minería de criptomonedas, mientras que también hay informes de varias botnets, incluidas Mirai, Tsunami y Kinsing, que están intentando aprovecharlo.
Investigadores de Microsoft también han advertido sobre ataques que intentan aprovechar las vulnerabilidades de Log4j, incluida una variedad de malware de criptominería, así como intentos activos de instalar Cobalt Strike en sistemas vulnerables, algo que podría permitir a los atacantes robar nombres de usuario y contraseñas.
Es común que los ciberdelincuentes se esfuercen por explotar las vulnerabilidades recientemente reveladas para tener la mejor oportunidad de aprovecharlas antes de que sean remediadas, pero en este caso, la ubicuidad de Log4j y la forma en que muchas organizaciones pueden ignorar que es parte de su red, significa que podría haber una ventana mucho más grande para los intentos de escanear en busca de acceso.
Y aunque los ciberdelincuentes que intentan aprovechar las vulnerabilidades de Log4j para instalar malware de criptominería pueden parecer inicialmente una amenaza de nivel relativamente baja, es probable que los ciberatacantes de nivel superior y más peligrosos intenten seguirlo.
“No puedo exagerar la gravedad de esta amenaza. A primera vista, está dirigida a los criptomineros, pero creemos que crea el tipo de ruido de fondo que los actores de amenazas graves intentarán explotar para atacar una amplia gama de objetivos de valor como bancos, seguridad estatal e infraestructura crítica ”, dijo Lotem Finkelstein, director de inteligencia e investigación de amenazas de Check Point.
La gravedad de la vulnerabilidad en una librería tan utilizada significa que se insta a las organizaciones y proveedores de tecnología a contrarrestar la amenaza lo antes posible.
“En el caso de esta vulnerabilidad CVE-2021-44228, el aspecto más importante es instalar las últimas actualizaciones tan pronto como sea posible”, dijo una alerta del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido.
Si bien el problema de seguridad de Log4j salió a la luz recientemente, la evidencia sugiere que los atacantes han estado explotando la vulnerabilidad durante algún tiempo antes de que se divulgara públicamente taxonomias
Fuente:
Desde RECAINSA hacemos un llamado al sector salud en revisar sus productos y/o servicios, que podrían estar sufriendo esta vulnerabilidad y exponiendo sus arquitecturas a ataques sensibles. Hemos ubicado una serie de soluciones open source que sería prudente que revisen y consulten respecto a si las comunidades ya aplicaron los patch de seguridad necesarios para solventar esta vulnerabilidad:
HAPI FHIR (https://hapifhir.io/)
Mirth Connect (https://www.mirthcorp.com/community/issues/browse/MIRTH/?selectedTab=com.atlassian.jira.jira-projects-plugin:summary-panel) (https://www.mirthcorp.com/community/issues/browse/MIRTH/?selectedTab=com.atlassian.jira.jira-projects-plugin:summary-panel)
DCM4che (https://www.dcm4che.org/)
openMRS (https://openmrs.org)
DHIS2 (https://dhis2.org/es)
Weasis Medical Viewer (https://nroduit.github.io/en/)
Artículo publicado originalmente en inglés por Danny Palmer Senior Reporter de ZDNet y traducido al español por Alejandro Benavides, Director Ejecutivo Adjunto de la Red Centroamericana de Informática en Salud (RECAINSA).
Las opiniones expresadas Las opiniones expresadas en los artículos son responsabilidad exclusiva del autor o los autores y no representan necesariamente la posición de la Junta Directiva y del Equipo Coordinador de la Red Centroamericana de Informática en Salud.