Log4j está parcheado, pero los exploits recién están comenzando


Peter Membrey, arquitecto jefe de ExpressVPN, recuerda vívidamente haber visto la noticia de la vulnerabilidad de Log4j en línea.

«Tan pronto como vi cómo se podía explotar, fue horrible», dice Membrey. “Como una de esas películas de desastres donde hay una planta de energía nuclear, descubren que se va a derretir, pero no pueden detenerlo. Sabes lo que se avecina, pero hay cosas muy limitadas que puedes hacer «.

Dado que la vulnerabilidad fue descubierto la semana pasada, el mundo de la ciberseguridad se ha acelerado para identificar aplicaciones vulnerables, detectar posibles ataques y mitigar las vulnerabilidades en la medida de lo posible. No obstante, los hacks serios que hacen uso del exploit son casi seguros.

Hasta ahora, los investigadores han observado a los atacantes usando la vulnerabilidad Log4j para instalar ransomware en servidores honeypot: máquinas que se hacen deliberadamente vulnerables con el fin de rastrear nuevas amenazas. Una empresa de ciberseguridad informó que casi la mitad de las redes corporativas estaba monitoreando había visto intentos de explotar la vulnerabilidad. El CEO de Cloudflare, un proveedor de seguridad de redes y sitios web, anunciado desde el principio que la amenaza era tan grave que la empresa implementaría la protección de firewall para todos los clientes, incluidos aquellos que no la habían pagado. Pero las noticias concretas sobre la explotación en la naturaleza siguen siendo escasas, probablemente porque las víctimas no saben o aún no quieren reconocer públicamente que sus sistemas han sido violados.

Qué es conocido con certeza es que el alcance de la vulnerabilidad es enorme. Una lista de software afectado compilada por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), y restringida solo a plataformas de software empresarial, se ejecuta en más de 500 artículos de largo en el momento de la publicación. Sin duda, una lista de todas las aplicaciones afectadas abarcaría muchos miles más.

Algunos nombres de la lista le resultarán familiares al público (Amazon, IBM, Microsoft), pero algunos de los problemas más alarmantes han surgido con el software que permanece detrás de escena. Fabricantes como Broadcom, Red Hat y VMware crean software sobre el que los clientes empresariales construyen negocios, distribuyendo eficazmente la vulnerabilidad en un nivel de infraestructura central de muchas empresas. Esto hace que el proceso de detección y eliminación de vulnerabilidades sea aún más difícil, incluso después de una Se ha lanzado el parche para la biblioteca afectada..

Incluso para los estándares de vulnerabilidades de alto perfil, Log4Shell está llegando a una parte inusualmente grande de Internet. Es un reflejo del hecho de que el lenguaje de programación Java se usa ampliamente en software empresarial y, para el software Java, la biblioteca Log4j es muy común.

“Ejecuté consultas en nuestra base de datos para ver a todos los clientes que usaban Log4j en cualquiera de sus aplicaciones”, dice Jeremy Katz, cofundador de Tidelift, una compañía que ayuda a otras organizaciones a administrar las dependencias de software de código abierto. «Y la respuesta fue: cada uno de ellos que tiene alguna aplicación escrita en Java».

El descubrimiento de un error fácilmente explotable que se encuentra en un lenguaje principalmente centrado en la empresa es parte de lo que los analistas han llamado «tormenta casi perfecta”En torno a la vulnerabilidad Log4j. Cualquier empresa podría estar utilizando numerosos programas que contienen la biblioteca vulnerable, en algunos casos, con múltiples versiones dentro de una aplicación.

«Java ha existido durante tantos años y se utiliza mucho en las empresas, especialmente en las grandes», afirma el director de tecnología de Cloudflare, John Graham-Cumming. «Este es un gran momento para las personas que administran software dentro de las empresas, y estarán ejecutando actualizaciones y mitigaciones lo más rápido que puedan».

Dadas las circunstancias, «tan rápido como puedan» es un término muy subjetivo. Las actualizaciones de software para organizaciones como bancos, hospitales o agencias gubernamentales generalmente se realizan en una escala de semanas y meses, no de días; Por lo general, las actualizaciones requieren numerosos niveles de desarrollo, autorización y prueba antes de convertirse en una aplicación en vivo.

Mientras tanto, las mitigaciones que pueden eliminarse con rapidez proporcionar un paso intermedio crucial, que le permite ganar un tiempo valioso mientras las empresas, grandes y pequeñas, se esfuerzan por identificar vulnerabilidades e implementar actualizaciones. Ahí es donde las correcciones en la capa de red tienen un papel clave que desempeñar: dado que los programas de malware se comunican con sus operadores a través de Internet, las medidas que restringen el tráfico web entrante y saliente pueden proporcionar una solución provisional para limitar los efectos del exploit.

Cloudflare fue una organización que se movió rápidamente, explicó Graham-Cumming, agregando nuevas reglas para su firewall que bloqueó las solicitudes HTTP que contienen cadenas características del código de ataque Log4j. ExpressVPN también modificó su producto para protegerse contra Log4Shell, actualizando las reglas de VPN para bloquear automáticamente todo el tráfico saliente en los puertos utilizados por LDAP – un protocolo que utiliza el exploit para obtener recursos de URL remotas y descargarlos en una máquina vulnerable.

«Si un cliente se infecta, ya hemos visto los escáneres como una carga útil maliciosa, por lo que podrían comenzar a escanear Internet e infectar a otras personas», dice Membrey. «Queríamos poner un límite a eso, no solo por el bien de nuestros clientes, sino por el de todos los demás, un poco como con Covid y las vacunas».

Estos cambios generalmente ocurren más rápido porque tienen lugar en servidores que pertenecen al firewall o compañías VPN y requieren poca (si es que hay alguna) acción por parte del usuario final. En otras palabras, una aplicación de software desactualizada aún podría recibir un nivel decente de protección de una VPN actualizada, aunque no sustituye a los parches adecuados.

Desafortunadamente, dada la gravedad de la vulnerabilidad, algunos sistemas se verán comprometidos, incluso si se implementan soluciones rápidas. Y puede pasar mucho tiempo, incluso años, antes de que los efectos se sientan por completo.

“Los atacantes sofisticados aprovecharán la vulnerabilidad, establecerán un mecanismo de persistencia y luego se apagarán”, dice Daniel Clayton, vicepresidente de servicios de ciberseguridad global de Bitdefender. «En dos años, escucharemos acerca de las grandes infracciones y luego sabremos que se infringieron hace dos años».

El error en Log4j una vez más destaca la necesidad y el desafío de financiar adecuadamente proyectos de código abierto. (Una gran cantidad de infraestructura tecnológica también podría depender de «un proyecto que alguna persona al azar en Nebraska ha estado manteniendo incansablemente desde 2003», como cómic XKCD siempre relevante explica.) Bloomberg informó a principios de esta semana que muchos de los desarrolladores involucrados en la carrera para desarrollar un parche para la biblioteca Log4j eran voluntarios no remunerados, a pesar del uso global del software en aplicaciones empresariales.

Una de las últimas vulnerabilidades que sacudió Internet, Heartbleed, fue causada de manera similar por un error en una biblioteca de código abierto ampliamente utilizada, OpenSSL. Siguiendo ese error, empresas de tecnología como Google, Microsoft y Facebook comprometido a poner más dinero en proyectos de código abierto que eran críticos para la infraestructura de Internet. Pero a raíz de las consecuencias de Log4j, está claro que la gestión de dependencias sigue siendo un problema de seguridad grave, y uno que no estamos cerca de resolver.

«Cuando observas la mayoría de los grandes hackeos que han ocurrido a lo largo de los años, normalmente no es algo realmente sofisticado lo que deshace a las grandes empresas», dice Clayton. «Es algo que no ha sido parcheado».





Fuente: The Verge

Compartir:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para fines de afiliación y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver Política de cookies
Privacidad