Investigadores de ESET, advierten sobre una vulnerabilidad crítica en una librería de Apache llamada Log4j que está siendo utilizada por cibercriminales a nivel mundial para distribuir malware. Log4j es una librería de registro de logs basada en Java que es ampliamente utilizada por muchos productos, servicios y componentes de Java.
Se trata de una vulnerabilidad de ejecución remota de código (RCE) descubierta por el equipo de Alibaba Cloud en noviembre y que fue parcheada en diciembre con una actualización de Log4j. Sin embargo, el viernes pasado se publicó un exploit para Log4Shell que permite a un atacante ejecutar el código de su elección en un servidor afectado.
Si el adversario obtiene acceso a la red local, incluso si los sistemas internos no están expuestos a Internet, la misma puede ser explotada. En última instancia, una vulnerabilidad de RCE significa que un atacante no necesita tener acceso físico para ejecutar código arbitrario que podría conducir a un control completo sobre los sistemas afectados y al robo de datos confidenciales. Esto incluye tanto servidores Linux como Windows.
Según los expertos, la vulnerabilidad es de fácil explotación y tiene impacto en la configuración por defecto de varios frameworks de Apache. Actores maliciosos ya comenzaron a escanear la red en busca de servidores vulnerables para explotar el fallo (o utilizarlos en futuros ataques) y realizar acciones maliciosas como instalar malware, exfiltrar datos o tomar el control del servidor.
Roman Kováč, Chief Research Officer de ESET, comentó sobre estos descubrimientos: “El volumen de nuestras detecciones confirma que es un problema a gran escala que no desaparecerá pronto. Efectivamente, los atacantes están probando muchas variantes de explotación, pero no todos los intentos son necesariamente maliciosos”.
Más allá de la severidad de la vulnerabilidad, que recibió un puntaje de 10 sobre 10 en la escala de CVSS, el hecho de que es una librería utilizada por miles de aplicaciones, plataformas de comercio electrónico, videojuegos y sitios web genera preocupación.
De hecho, según publicó BleepingComputer, ya se detectaron ataques distribuyendo distintos mineros de criptomonedas, como Kinsing, así como los códigos maliciosos Mirai y Muhstik. Los operadores detrás de estas dos botnets buscan comprometer dispositivos IoT y servidores para sumarlos a su red de equipos bajo su control para distribuir malware para minar criptomonedas y llevar adelante ataques de DDoS.
Fuente: ESET
