Microsoft alerta sobre continuos ataques para explotar la vulnerabilidad de Log4J

AS-001-2022

Fecha: 05/Ene/202

Resumen:

De acuerdo a la publicación de MSTIC (Microsoft Threat Intelligence Center), se determina que en diciembre existieron múltiples registros de escaneos e intentos de explotación de la vulnerabilidad de ejecución remota de código, presente en la librería Log4J. Los ataques registrados mostraban que los exploits fueron incluidos en malware existente y kits tácticos.

Los ataques muestran que se ha imprimido un gran esfuerzo en generar peticiones maliciosas HTTP ofuscadas, con el fin de evadir las reglas de detección basadas en cadenas, que permitirían explotar la vulnerabilidad de Log4J a través de JNDI. Además, Microsoft dijo que observó una gran adopción de la vulnerabilidad en botnets existentes como Mirai, así como campañas de ataque a instalaciones de Elasticsearch para despliegue de criptominers, y del bacdoor Tsunami en sistemas Linux.

En este sentido, los usuarios deben asumir una amplia distribución de exploits; y, considerando la demora en el despliegue e implementación de parches , se considera que este incidente se resolverá en el largo plazo, por lo que se recomienda mantenerse vigilantes.

Por otro lado, los investigadores de CrowdStrike interrumpieron un intento de ataque del grupo Aquatic Panda hacia infraestructura de una institución académica. El propósito fue robar información de inteligencia industrial y militar vulnerando una versión de VMware Vcenter afectada por Log4J.

Es importante recordar que la versión parcheada de la librería es la 2.17.1, la misma que debe ser instalada en los sistemas que lo permitan. De igual manera, aplocar los parches de sistemas de terceros o aplicar las medidas de contingencia recomendadas.

Referencias:

https://thehackernews.com/2022/01/microsoft-warns-of-continued-attacks.html

https://threatpost.com/aquatic-panda-log4shell-exploit-tools/177312/