Hay una variedad de ataques en evolución que van desde mineros de criptomonedas hasta ransomware
Microsoft ha advertido sobre los continuos intentos de los adversarios de los estados nacionales y los atacantes de productos básicos para aprovechar las vulnerabilidades de seguridad descubiertas en el marco de registro de código abierto Log4j para implementar malware en sistemas vulnerables.
"Los intentos de explotación y las pruebas se han mantenido altos durante las últimas semanas de diciembre", dijo Microsoft Threat Intelligence Center (MSTIC) en una guía revisada publicada a principios de esta semana. "Hemos observado que muchos atacantes existentes agregan explotaciones de estas vulnerabilidades en sus kits y tácticas de malware existentes, desde mineros de monedas hasta ataques con las manos en el teclado (hands-on-keyboard attacks en inglés)".
Revelada públicamente por Apache Software Foundation el 10 de diciembre de 2021, la vulnerabilidad de ejecución remota de código (RCE) en Apache Log4j 2, también conocida como Log4Shell, ha surgido como un nuevo vector de ataque para la explotación generalizada por parte de una variedad de actores de amenazas.
En las semanas siguientes, salieron a la luz cuatro debilidades más en la empresa de servicios públicos: CVE-2021-45046, CVE-2021-45105, CVE-2021-4104 y CVE-2021-44832, que brindan a los malos actores oportunistas un control persistente sobre el máquinas comprometidas y montar una variedad de ataques en evolución que van desde mineros de criptomonedas hasta ransomware.
Incluso cuando los intentos de escaneo masivo no muestran signos de ceder, se están realizando esfuerzos para evadir las detecciones de coincidencia de cadenas ocultando las solicitudes HTTP maliciosas orquestadas para generar un registro de solicitud web utilizando Log4j que aprovecha JNDI para realizar una solicitud al sitio controlado por el atacante.
Además, Microsoft dijo que observó "una rápida asimilación de la vulnerabilidad en redes de bots existentes como Mirai, campañas existentes que antes se dirigían a sistemas Elasticsearch vulnerables para implementar mineros de criptomonedas, y actividad de implementación de la puerta trasera Tsunami en sistemas Linux".
Además de eso, la vulnerabilidad Log4Shell también se ha utilizado para eliminar kits de herramientas de acceso remoto adicionales y shells inversos como Meterpreter, Bladabindi (también conocido como NjRAT) y HabitsRAT.
"En esta coyuntura, los clientes deben asumir que la amplia disponibilidad de código de explotación y capacidades de escaneo es un peligro real y presente para sus entornos", señaló el MSTIC. "Debido a la gran cantidad de software y servicios que se ven afectados y dado el ritmo de las actualizaciones, se espera que esto tenga una larga cola de remediación, lo que requiere una vigilancia continua y sostenible".
El desarrollo también se produce cuando la Comisión Federal de Comercio de EE. UU. (FTC) emitió una advertencia de que "tiene la intención de usar su autoridad legal completa para perseguir a las empresas que no toman medidas razonables para proteger los datos del consumidor de la exposición como resultado de Log4j, o vulnerabilidades conocidas similares en el futuro".