in

Los atacantes utilizan errores de Log4j en ataques prácticos de teclado para lanzar proyectiles inversos



Microsoft advirtió esta semana a las empresas sobre el alto potencial de los actores de amenazas para extender las vulnerabilidades de ejecución remota de código (RCE) recientemente descubiertas en el marco de registro Log4j de Apache a una variedad de ataques.

La compañía dijo que sus investigadores de seguridad habían observado una gran cantidad de actividades de escaneo e intentos de explotación dirigidos a las fallas en las últimas semanas de diciembre.

Muchos grupos de ataque, incluidos los actores del estado-nación y los grupos de ransomware, han ampliado sus kits de ataque para incluir exploits para las vulnerabilidades y usarlos para configurar shells inversos, eliminar kits de herramientas de acceso remoto y realizar ataques prácticos de teclado en sistemas vulnerables. Las puertas traseras y las carcasas inversas que Microsoft ha observado que se implementan a través de los errores de Log4j incluyen Bladabindi, HabitsRAT, Meterpreter, Cobalt Strike y PowerShell.

«En este momento, los clientes deben asumir que la disponibilidad generalizada de código de explotación y funciones de escaneo representa una amenaza real y actual para sus entornos», dijo el lunes el grupo de seguridad de Microsoft en una actualización de una publicación de blog que la compañía publicó por primera vez en Publicado en noviembre y diciembre. Es posible que las organizaciones no se den cuenta de que sus entornos pueden estar ya comprometidos «.

Apache Log4j es un componente de registro de código abierto ampliamente utilizado que se puede encontrar en casi cualquier entorno que utilice una aplicación Java. Esto incluye servidores conectados a Internet, sistemas backend y componentes de red, aplicaciones de terceros, servicios que utilizan estas aplicaciones en entornos de nube y en sistemas de control industrial y sistemas SCADA.

El 9 de diciembre, Apache Software Foundation anunció una vulnerabilidad crítica de RCE (CVE-2021-44228) en el componente que proporciona al atacante una forma relativamente fácil de obtener un control completo sobre los sistemas vulnerables. La divulgación provocó una preocupación generalizada y advertencias urgentes de los profesionales de la seguridad de que, debido a la actividad de escaneo generalizada y los intentos de explotación, las organizaciones deben actualizar rápidamente su versión de Log4j. Menos de una semana después de que se conociera el primer error, la Fundación Apache descubrió un segundo error en Log4j (CVE-2021-45046) y unos días después un tercero (CVE-2021-45105).

La prevalencia generalizada del error, y la facilidad con la que se puede explotar, ha atraído el interés de una amplia gama de actores de amenazas. En las semanas transcurridas desde que se anunció el primer error, numerosos proveedores han informado que han observado a los operadores de ransomware; Mineros de criptomonedas; actores nacionales de países como Irán, Turquía y China; y otros intentan aprovechar los errores.

Los actores de Advanced Persistent Threat (APT) que se han observado explotando las vulnerabilidades incluyen al grupo hafnium con sede en China, que el año pasado lanzó ataques de día cero contra los llamados errores ProxyLogon de Exchange Server fue el responsable. Otros actores de APT que explotan los errores de Log4j incluyen Phosphorous, un operador de ransomware iraní, y Aquatic Panda, un actor con sede en China que CrowdStrike frustró unos días después de que se conoció el primer error en medio de un ataque dirigido a una gran organización académica.

En este ataque, observaron los investigadores de CrowdStrike, el actor de amenazas intentó ejecutar comandos de Linux en el host de Windows de la organización víctima, dice Param Singh, vicepresidente del servicio de investigación de amenazas de CrowdStrike, Falcon OverWatch. Cuando fallaron los intentos de ejecutar comandos de Linux, el actor de amenazas rápidamente cambió a usar servicios nativos de Windows o los llamados binarios de living-off-the-land (LOLBins).

Este comportamiento fue observado por los cazadores de amenazas de OverWatch, dice Singh. «La maniobra y táctica rápidas que el actor de amenazas de comandos de Linux ha utilizado para explotar Windows LOLBins sugiere una actividad interactiva del teclado en lugar de un ataque de script oportunista».

Continúa la actividad de escaneo generalizada
Según Microsoft, las actividades de escaneo representan la mayor parte del tráfico de ataques observado hasta ahora. Gran parte de la actividad parece provenir de investigadores de seguridad y equipos rojos que buscan fallas en sus redes. Pero entre los que buscan los errores se encuentran los actores de amenazas, incluidos los operadores de botnets como Mirai, los que se dirigen a los sistemas Elasticsearch vulnerables para usar mineros de criptomonedas y los atacantes que buscan implementar la puerta trasera del tsunami en los sistemas Linux.

En muchas de estas campañas, los atacantes ejecutan exploraciones simultáneas de sistemas Windows y Linux vulnerables. Los atacantes usan comandos Base-64 contenidos en JDNI: ldap: // para lanzar comandos Bash en sistemas Linux y PowerShell en Windows, dijo Microsoft.

Microsoft y muchos otros expertos en seguridad han pedido a las empresas que proporcionen herramientas de escaneo y scripts para identificar las vulnerabilidades de Log4j en su entorno. Pero debido a la forma en que funciona el empaquetado de Java, la vulnerabilidad puede estar enterrada en varias capas de las aplicaciones y no ser fácilmente visible para los escáneres, dicen los expertos en seguridad.

Por ejemplo, Rezilion probó recientemente varias herramientas de escaneo comerciales y de código abierto para ver qué tan efectivas pueden detectar archivos Java en los que Log4j está anidado y empaquetado en varios formatos. Las herramientas de escaneo probadas incluyeron las de Google, Palantir, Aqua Security, Mergebase y JFrog. El ejercicio mostró que, si bien algunos escáneres eran mejores que otros, ninguno de ellos pudo reconocer Log4j en todos los formatos.

Desde las pruebas de Rezilion, JFrog y Mergebase han actualizado sus herramientas, dice Yotam Perkal, jefe de investigación de vulnerabilidades de Rezilion.

«Mergebase agregó soporte para el formato PAR, y JFrog agregó soporte PAR y ZIP, y mejoró su soporte para JAR sombreados», señala. «Si bien es difícil dar una estimación precisa, el anidamiento / incrustación es una práctica común entre los desarrolladores y vemos vidrios anidados en la mayoría de los entornos de producción, por lo que la posibilidad de instancias no detectadas es alta».

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Relleno de múltiples subprocesos de los ataques de Oracle contra cualquier servicio

CrowdStrike integra la telemetría de CPU Intel en Falcon Sensor