[15/12/2021] A menos que haya estado en una isla remota sin acceso a Internet, habrá visto los titulares y artículos sobre la vulnerabilidad del software de registro llamado Log4j. Log4j es una biblioteca de registro basada en Java que se utiliza en muchas aplicaciones de terceros. También forma parte de Apache Logging Services. Las grandes empresas que codifican sus propias aplicaciones internas presumiblemente tienen codificadores en plantilla que saben que han utilizado este software y ya están tomando medidas para mitigarlo. Para las aplicaciones internas, es necesario actualizar el software Log4j a las últimas versiones.
Sin embargo, los consultores y las pequeñas y medianas empresas pueden no ser conscientes de que tienen instalado un software vulnerable que es susceptible de sufrir esta vulnerabilidad. El equipo de Huntress ha preparado una gran cantidad de recursos para consultores y empresas que pueden no tener equipos internos con recursos para determinar si son vulnerables.
Herramienta de prueba de vulnerabilidad Log4J
Huntress también ofrece una herramienta de prueba fácil de usar que le permite comprobar si las aplicaciones internas son vulnerables. Generan una cadena única para que la utilices en las pruebas de sus aplicaciones internas. Puede introducir la cadena en una ubicación que normalmente necesitaría la entrada del usuario, por ejemplo, un nombre de usuario o una ubicación de contraseña. Una vez que introduzca la cadena de entrada, entonces revise la página de prueba resultante del sitio del equipo Huntress y revise si sus aplicaciones son vulnerables. Si no hay ninguna prueba de "filtración" externa es una buena señal de que sus aplicaciones internas están a salvo de este estilo de ataque.
Realice esta prueba solo en aplicaciones y recursos que le pertenecen o sobre los que tiene control contractual. Probar una aplicación sobre la que no tiene legalmente derechos es una violación de la mayoría de los términos y acuerdos de los proveedores de servicios de Internet. El blog de Huntress señala que los atacantes ya están intentando utilizar esto para entrar en los sistemas, normalmente utilizando una consulta del Protocolo Ligero de Acceso a Directorios (LDAP). Huntress ha proporcionado una herramienta que genera una solicitud que luego será reportada. Basta con cortar y pegar la carga útil del sitio Log4Shell en su aplicación. John Hammond de Huntress también proporcionó un video que muestra cómo funciona la vulnerabilidad.
Pruebe primero las aplicaciones que incluyen el registro
El grupo NCC recomienda que revise sus aplicaciones de software y sus proveedores en busca de posibles vulnerabilidades. Piense en las aplicaciones que incluyen registro y pruébelas primero, pero también piense en qué aplicaciones pueden depender de LDAP, que se ejecuta en una capa por encima de la pila TCP/IP. Proporciona un mecanismo utilizado para conectarse, buscar y modificar los directorios de Internet. Como señala Microsoft, "un patrón común de riesgo de explotación, por ejemplo, es una aplicación web con código diseñado para procesar nombres de usuario, referencias o cadenas de agente de usuario en los registros".
Consejos de mitigación de Microsoft Log4j
Microsoft afirma que, si utiliza el antivirus Microsoft Defender en sus dispositivos Windows o Linux, evitará la explotación. Los exploits actuales han estado insertando software de minería de bitcoin en los sistemas, así como cargadores de Cobalt Strike Beacon. Microsoft también recomienda revisar los registros del firewall en busca de comandos sospechosos, así como las consultas LDAP.
De forma nativa, Windows no es vulnerable al exploit Log4j, así que no busque pruebas del ataque en sus registros de eventos de Windows. En su lugar, busque esto en las aplicaciones que ha comprado o desarrollado, ya que es normalmente donde se encuentran las rutinas de registro de Log4j.
Microsoft recomienda activar la regla de reducción de la superficie de ataque para bloquear la ejecución de archivos ejecutables a menos que cumplan un criterio de prevalencia, antigüedad o lista de confianza. Esto le protegerá mientras investiga si su red está en peligro.
Vigile el tráfico saliente
Revise las opciones y herramientas que puede utilizar para vigilar el tráfico saliente. Antes de la pandemia, la mayoría de las empresas utilizaban una red tradicional detrás de un firewall que podía utilizarse para revisar los riesgos salientes. Ahora se necesitan herramientas basadas en la nube para revisar las conexiones salientes desde estaciones de trabajo dispersas geográficamente. Es posible que tenga que ponerse en contacto con sus proveedores de antivirus o herramientas de supervisión y añadir soluciones que le permitan supervisar de forma remota los equipos de su red.
Revise si las conexiones salen de su dominio a sitios web que han sido identificados en ataques actuales. Idealmente, revise también qué opciones tiene para bloquear las conexiones desde su red a las URLs indicadas.
El grupo NCC ha identificado los dominios y las direcciones IP utilizadas en los ataques. Esté atento a esta lista, ya que seguramente aumentará en los próximos días. Además, póngase en contacto con sus proveedores de firewall para que le recomienden las consultas y pueda revisar su entorno en busca de sistemas vulnerables que llamen a servidores. También puede revisar los avisos y listas de seguridad en este sitio.
Sucesos como este volverán a ocurrir. Revise si tiene recursos y personal que pueda realizar análisis y consultas. Si no cuenta con el personal necesario para realizar una evaluación de la posibilidad de que se produzcan este tipo de ataques, considere la posibilidad de añadir servicios en la nube y herramientas de supervisión que puedan rastrear las conexiones salientes y proporcionarle dicha información. Las pequeñas empresas o los consultores podrían considerar la posibilidad de añadir Microsoft Defender for Business, una plataforma en vista previa pública que puede supervisar este tipo de ataques de salida, o Microsoft Lighthouse, una consola que le permitirá supervisar varias empresas en busca de este tipo de ataques.
Basado en el artículo de Susan Bradley (CSO) y editado por CIO Perú