La vulnerabilidad crítica Log4Shell que ha afectado a millones de aplicaciones empresariales sigue explotándose, pese a los parches disponibles, y todo apunta a que lo seguirá siendo durante bastante tiempo.
Log4Shell, registrado como CVE-2021-44228, se descubrió en diciembre de 2021 en Log4j, la biblioteca Java de código abierto. Inicialmente se propagó como una amenaza de día cero y los desarrolladores del proyecto lanzaron rápidamente un parche para detener su proliferación.
Sin embargo, conseguir que ese parche se adoptara ampliamente ha resultado un desafío ya que depende de los desarrolladores que usaron este componente en su software para lanzar sus propias actualizaciones.
El problema se ha complicado aún más debido a que los proyectos de software que incorporaron Log4j incluían otros componentes de terceros o marcos de desarrollo que a su vez se usaban como dependencias para otras aplicaciones.
Según apuntan los investigadores de Cisco Talos, «la amenaza de los intentos de explotación de Log4j seguirá siendo un desafío para las organizaciones hasta 2023, y más allá». Para estos expertos, la omnipresencia de Log4j en los entornos de las organizaciones hace que la aplicación de parches sea un desafío.
«Dado que la biblioteca se usa tanto, Log4j puede estar profundamente integrado en sistemas grandes, lo que dificulta el inventario para saber dónde pueden estar todas las vulnerabilidades de software en un entorno particular», destacan los investigadores.
De acuerdo con la firma especializada en análisis de vulnerabilidades Tenable, el 72% de las organizaciones todavía tenían activos vulnerables a Log4Shell el pasado 1 de octubre, lo que sigue siendo un porcentaje muy alto.
La media de activos vulnerables por organización ha disminuido un 10% respecto a octubre del 2021, pero uno de cada tres activos tiene una recurrencia de Log4Shell después de conseguir solucionarlo.
Los intentos de explotación de Log4Shell siguen siendo altos
Tras la publicación del fallo a finales de 2021, la telemetría del sistema de detección de intrusos en la red de código abierto Snort ha mostrado un aumento en la cantidad de de intentos de explotación de Log4Shell.
Si el pasado mes de enero alcanzó los casi 70 millones de intentos de explotación, el volumen de nuevas detecciones disminuyó hasta abril, pero se ha mantenido relativamente constante desde entonces en alrededor de 50 millones por mes. Esto muestra que los atacantes continúan interesados en sondear los sistemas en busca de esta vulnerabilidad.
La explotación de vulnerabilidades en aplicaciones que incluían Log4Shell ha estado empatada con el phishing como principal vector de infección durante la primera mitad del año, según datos del equipo de respuesta a incidentes de Cisco Talos. En el tercer trimestre, los exploits de aplicaciones fueron el tercer vector de infección más común.
Los tipos de atacantes que explotan Log4Shell varían desde ciberdelincuentes que implementan mineros de criptomonedas y ransomware hasta grupos de ciberespionaje patrocinados por estados.
Asimismo, alrededor del 60% de los casos de respuesta a incidentes investigados por Arctic Wolf este año se atribuyeron a tres grupos de ransomware: LockBit, Conti y BlackCat. La compañía estima que el coste medio de un incidente de este tipo supera los 90.000 dólares.
Asimismo, también apuntan que Log4Shell se está aprovechando en operaciones de ciberespionaje por parte de grupos APT, incluido Lazarus de Corea del Norte, actores de amenazas asociados con el Cuerpo de la Guardia Revolucionaria Islámica de Irán y los grupos Deep Panda y APT41 vinculados a China.
