Log4j sigue causando estragos – Lo que aprendimos de Log4Shell
Si usted supiera que corre el riesgo de padecer diabetes o cáncer, tomaría todas las medidas necesarias para evitar o retrasar su aparición. Acudiría a revisiones y pruebas rutinarias para asegurarse de que, si aparecen signos de la enfermedad, puede detectarla a tiempo, tratarla y, con suerte, evitar un desenlace mortal.
La salud de la ciberseguridad de una empresa es muy parecida. Si corre el riesgo de sufrir un ataque ( todo profesional de seguridad debería pensar en esto), considereadoptar todas las medidas necesarias para proteger su entorno. Como mínimo, esto debería incluir medidas proactivas como la supervisión constante, la aplicación de parches y la concienciación en materia de ciberseguridad.
Una mentalidad de “configurar una vez y olvidarse” podría tener consecuencias devastadoras en ambas situaciones. Así mismo, un resultado satisfactorio en un análisis o una prueba no implica que la empresa vaya a estar a salvo para siempre; el mero hecho de que no haya sido el objetivo inicial de un ataque importante no significa que no vaya a ser víctima de ese ataque en el futuro.
No se acaba hasta que se acaba
El equipo de CYREBRO ha sido testigo a menudo de cómo las PYMES se dejan llevar por una falsa sensación de seguridad cuando se hace pública una nueva amenaza y sólo las grandes empresas aparecen como víctimas. Se desata un frenesí y los expertos se apresuran a desarrollar y publicar un parche. Los grandes equipos de seguridad pueden abordar esas vulnerabilidades rápidamente reasignando recursos y desplegando los parches casi de inmediato. Sin embargo, las PYMES a menudo creen erróneamente que no son un objetivo lo suficientemente valioso, por lo que los parches quedan relegados a un segundo plano, a pesar de que los equipos saben que los sistemas sin parchear son un punto de entrada ideal y habitual de los ciberdelincuentes.
En algún momento, el ciclo de las noticias sigue su curso, la exaltación inicial se disipa y los equipos se centran en otras actividades, olvidando los ataques que acaban de producirse. Ese es el momento exacto que esperan los hackers para atacar.
Sólo tenemos que echar la vista atrás a los últimos 12 meses y analizar el desastre de Log4j para ver este patrón en acción. Aunque los parches estuvieron disponibles a los pocos días de descubrirse la vulnerabilidad, el hecho de que Log4j esté integrado, a veces de forma muy intrincada, en miles de sistemas, hizo casi imposible encontrar y parchear cada uno de ellos. Esto significa que incluso hace un año, los expertos en seguridad deberían haber comprendido que esta vulnerabilidad generalizada sería un problema a largo plazo con consecuencias que se extenderían durante años.
El rastro de la destrucción de Log4j
Durante la última semana de noviembre de 2021, el equipo de seguridad de la nube de Alibaba descubrió una vulnerabilidad en la ampliamente utilizada biblioteca de registro basada en Java Apache Log4j, la cual permitía la ejecución remota de código (RCE) sin autenticación y la toma de control completa del sistema.
Esta es la cronología del ataque:
10 de diciembre: Se publicó una prueba de concepto en GitHub, y los hackers entraron en acción, escaneando Internet en busca de sistemas vulnerables. El fallo se conoció como Log4Shell y fue registrado como CVE-2021-44228, obteniendo una puntuación de 10 sobre 10 en la escala de vulnerabilidades CVSS y convirtiéndose en una de las amenazas conocidas más peligrosas. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) publicó una alerta sobre la vulnerabilidad.
11-13 de diciembre: Apache publicó rápidamente Log4j 2.15.0, que contenía una solución para el problema. La Agencia Estadounidense de Ciberseguridad y Seguridad de las Infraestructuras (CISA) instó públicamente a las empresas a adoptar medidas inmediatas para mitigar el problema.
14-17 de diciembre: Se detectaron otras dos vulnerabilidades de Log4j y se publicaron los subsiguientes parches. Para el 17 de diciembre, la situación parecía grave: el ransomware TellYouThePass fue reactivado y distribuido utilizando el exploit, el ransomware Khonsari se utilizó para atacar servidores de Minecraft y la banda de Conti consiguió acceder a servidores VMware vCenter.
20 de diciembre: Los ciberdelincuentes ya estaban aprovechando Log4j para instalar Dridex y Meterpreter. Ese mismo día, Wiz y EY publicaron un informe en el que se afirmaba que de los 200 entornos empresariales basados en la nube, el 93% estaban en peligro, y las empresas solo habían parcheado el 45% de los recursos vulnerables.
10 de enero: Microsoft anunció que los atacantes habían comenzado a explotar la vulnerabilidad Log4j en los sistemas conectados a Internet que ejecutan VMware Horizon una semana antes y que un grupo con sede en China había desplegado el ransomware NightSky.
Durante los meses siguientes, los titulares siguieron salpicando Internet, apuntando a nuevos y continuos ataques de ciberdelincuentes auspiciados por estados. En verano, las noticias sobre el exploit Log4j se habían calmado, aunque la amenaza persistía y la Junta de Revisión de la Seguridad Cibernética (CSRB) del DHS la había calificado de vulnerabilidad endémica. Era la calma que precedía a la (segunda) tormenta.
Agentes iraníes atacan una agencia federal estadounidense
Log4Shell volvió a estar en el candelero a mediados de noviembre, cuando el FBI y el CISA anunciaron que un grupo de hackers respaldados por Irán habían aprovechado la vulnerabilidad y habían accedido al Federal Civilian Executive Branch (FCEB) a través de un servidor VMware Horizon sin parchear. El grupo desplegó el software de minería de criptomonedas XMRig y “se movió lateralmente al controlador de dominio (DC), comprometió las credenciales y luego instaló proxis inversos Ngrok en varios equipos para mantener el control”.
Esta noticia fue toda una sorpresa, ya que las agencias federales recibieron la orden de parchear cualquier vulnerabilidad de Log4j en diciembre de 2021, y las agencias gubernamentales continuaron emitiendo advertencias a lo largo de 2022. La FTC incluso amenazó con emprender acciones legales contra las empresas que no parcheasen adecuadamente sus sistemas.
Este reciente incidente demuestra que ninguna entidad está a salvo de un ataque; incluso organizaciones con gran cantidad de equipos y protocolos de ciberseguridad pueden convertirse en víctimas si se descuidan durante un instante. También subraya el punto anterior de que una mentalidad de “configurar una vez y listo” es una receta para el desastre en lo que se refiere a la seguridad.
Toda empresa es un objetivo
En el mundo actual, hiperconectado y dependiente de la tecnología, ninguna empresa debería creer que está segura al 100%. Esta es una fantasía peligrosa y poco realista que genera negligencia. Levantar el pie del acelerador de la seguridad un solo segundo equivale a entregar a los hackers una invitación para acceder a un entorno informático.
Los hackers son como los leones. Son depredadores que acechan pacientemente a su presa, esperando a que pierda la concentración y baje la guardia, creando la oportunidad perfecta para abalanzarse sobre ella. Los ciberdelincuentes, al igual que los depredadores, saben qué tácticas funcionan y utilizan métodos de ataque probados.
Como la mayoría de los ataques aprovechan vulnerabilidades conocidas, los delincuentes informáticos no necesitan reinventar la rueda, sobre todo ahora que tantas empresas se dejan vulnerar a sabiendas. Si los equipos carecen de los recursos necesarios para gestionar el trabajo constante de forma interna, es imperativo que se asocien con una empresa de seguridad. Por eso CYREBRO explora y evalúa los atributos de cada investigación aprovechando innumerables fuentes de conocimiento y analizadores externos e internos. Identificar los atributos maliciosos de las amenazas conocidas es un conocimiento de valor incalculable que se traduce en capas adicionales y eficaces de ataque y defensa.
Evite aparecer en las próximas noticias
Los ataques a Log4j dejaron atónita a la comunidad de expertos en seguridad. Fue lo único de lo que se habló durante meses, pero los recuerdos duran poco, y eso es exactamente lo que esperan los hackers. Los hackers lanzaron una nueva ronda de ataques tan pronto como la situación se calmó y las amenazas se hicieron menos frecuentes, como todos sabíamos que ocurriría (incluidos ellos).
Los equipos de seguridad deben estar atentos y ser estrictos con sus prácticas de seguridad. Deben trabajar metódicamente para cerrar las brechas de visibilidad de su organización, parchear sus sistemas y adoptar otras medidas destinadas a reforzar sus políticas de seguridad. Las empresas que no se centran en la seguridad de forma constante, están abocadas a ser protagonistas del próximo ciclo de noticias.