Log4Shell continúa siendo una causa común de brechas de seguridad
Las organizaciones aún carecen de visibilidad en su cadena de suministro de software.
La vulnerabilidad crítica Log4Shell, que afectó a millones de aplicaciones empresariales, sigue siendo una causa común de brechas de seguridad un año después y tras haberse puesto todo tipo de parches y una amplia atención por parte de la industria. Su impacto duradero destaca los principales riesgos que plantean los fallos en las instancias de software transitivas y la necesidad de que las compañías adopten con urgencia mecanismos de análisis de composición y prácticas seguras de gestión de la cadena de suministro.
Log4Shell se descubrió en diciembre de 2021 en una biblioteca Java de código abierto muy popular que se utiliza para el inicio de sesión. Divulgado como brecha de día cero, los desarrolladores del proyecto crearon rápidamente un parche, pero lograr su adopción ha resultado ser un desafío. Y, el problema se complicó aún más por la naturaleza transitiva de la vulnerabilidad porque los proyectos que lo incorporan incluyen muchos otros componentes de terceros o marcos de desarrollo que se usaban como dependencias para otras aplicaciones. Ni siquiera fue necesario que el uso de la biblioteca Log4j se viera afectado, ya que la clase Java vulnerable llamada JndiManager incluida en Log4-core fue tomada prestada por otros 783 proyectos y ahora se encuentra en más de 19.000 componentes de software.
La explotación de Log4j seguirá siendo un reto
“Evaluamos que la amenaza de los intentos de explotación de Log4j seguirá suponiendo un desafío para los organizaciones a lo largo de este año”, dicen los investigadores del grupo Talos, de Cisco, en su último informe. “Su omnipresencia y el hecho de que la biblioteca se utilice tanto pueden dificultar el inventario de las vulnerabilidades de software”.
Según datos de Tenable, el 72% de las organizaciones todavía tenían activos vulnerables Log4Shell a fecha de uno de octubre de 2022, lo que supone una mejora de 14 puntos porcentuales desde mayo, aunque la estadística sigue siendo muy alta. La cantidad media de vulnerabilidades también disminuyó un 10%, hasta el 2,5%, pero uno de cada tres activos tenía una recurrencia de Log4Shell después de hacer remediaciones.
“Lo que muestran nuestros datos es que las empresas que tienen programas de código abierto maduros han podido remediar en gran medida, pero muchas siguen tambaleándose un año después”, asegura Brian Fox, CTO de Sonatype. “La cantidad de descargas vulnerables de Log4j todos los días es de cientos de miles, lo que muestra que este no es un problema de mantenimiento del open source, sino del consumidor. Esta es una prueba de que las compañías no saben lo que hay en su cadena de suministro de software”.
El número de intentos de explotación sigue siendo alto
Tras la divulgación pública de la falla a fines de 2021, la telemetría del sistema de detección de intrusos en la red de código abierto Snort mostró un aumento en la cantidad de detecciones de intentos de explotación de Log4Shell que alcanzó casi 70 millones en enero. El volumen de nuevas detecciones disminuyó hasta abril, pero se ha mantenido relativamente constante desde entonces en alrededor de 50 millones por mes. Esto muestra que los atacantes continúan interesados ??en sondear los sistemas en busca de esta vulnerabilidad.
La empresa de detección y respuesta gestionada Arctic Wolf ha visto 63.313 incidentes únicos de intento de explotación desde finales de enero contra 1.025 organizaciones que representan alrededor de una cuarta parte de su base de clientes. Alrededor del 11% de los compromisos de respuesta a incidentes de la firma en organizaciones tenían a Log4Shell como causa de la intrusión. Esto fue superado solo por la vulnerabilidad ProxyShell (CVE-2021-34473) en Microsoft Exchange.
La explotación de vulnerabilidades en aplicaciones de cara al público, que incluían Log4Shell, estuvo empatada con el phishing por la posición de principal vector de infección durante la primera mitad del año, según datos del equipo de respuesta a incidentes de Cisco Talos. En el tercer trimestre, los exploits de aplicaciones fueron el tercer vector de infección más común e incluyeron la orientación de servidores VMware Horizon vulnerables a Log4Shell.
Los tipos de atacantes que explotan Log4Shell varían desde ciberdelincuentes que implementan mineros de criptomonedas y ransomware hasta grupos de ciberespionaje patrocinados por el estado. Alrededor del 60% de los casos de respuesta a incidentes investigados por Arctic Wolf este año se atribuyeron a tres grupos de ransomware: LockBit, Conti y BlackCat (Alphv). La compañía estima que el costo promedio de un incidente de este tipo supera los 90.000 dólares.
Según Cisco Talos, el ahora desaparecido grupo de ransomware Conti comenzó a explotar Log4Shell poco después de que la falla se hiciera pública en diciembre de 2021. Sin embargo, la explotación de esta falla por parte de los grupos continuó durante todo el año. Las pandillas de minería de criptomonedas adoptaron Log4Shell incluso más rápido que los grupos de ransomware, siendo responsables de muchas de las primeras actividades de exploración y explotación asociadas con esta falla.
"Log4j sigue siendo un vector de infección altamente viable para que los actores lo exploten, y esperamos que los adversarios intenten continuar abusando de los sistemas vulnerables el mayor tiempo posible", dijeron los investigadores de Cisco Talos. "Aunque los actores de amenazas siguen siendo adaptables, hay pocas razones para que gasten más recursos en el desarrollo de nuevos métodos si aún pueden explotar con éxito las vulnerabilidades conocidas".
