[01/08/2022] La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA, por sus siglas en inglés) ha estado investigando los ataques que explotan la vulnerabilidad Log4Shell en productos de terceros como VMware Horizon y Unified Access Gateway (UAG). La agencia publicó indicadores de compromiso (IOC, por sus siglas en inglés) recogidos de incidentes que investigó tan recientemente como junio, destacando el impacto duradero de esta vulnerabilidad que tiene más de seis meses.
"Entre mayo y junio del 2022, CISA proporcionó apoyo remoto a incidentes en una organización en la que CISA observó presuntas descargas de Log4Shell PowerShell", sostuvo la agencia en un informe la semana pasada. "Durante el soporte remoto, CISA confirmó que la organización fue comprometida por ciberactores maliciosos que explotaron Log4Shell en un servidor VMware Horizon que no tenía parches o soluciones aplicadas".
La larga cola de Log4Shell
La vulnerabilidad de Log4Shell, rastreada como CVE-2021-44228, es un defecto crítico de ejecución remota de código en una biblioteca de registro de Java ampliamente utilizada llamada Log4j. La vulnerabilidad se notificó originalmente a finales de noviembre como un día cero y se parcheó en Log4j el 6 de diciembre, lo que desencadenó una respuesta de parche y mitigación en todo el sector.
Sin embargo, los expertos en seguridad advirtieron en ese momento que el problema probablemente tendría un impacto a largo plazo, ya que Log4j se utilizaba en millones de aplicaciones corporativas basadas en Java y en productos de terceros. Esto hizo que los equipos de seguridad tuvieran dificultades y tardaran mucho en descubrir, rastrear y parchear todos los casos de la falla en sus redes, sobre todo porque dependían de las correcciones publicadas por una amplia gama de proveedores de software.
En mayo, la empresa de seguridad de la cadena de suministro de software Sonatype, que gestiona y supervisa el Repositorio Central de Componentes Java, advirtió que el 38% de las descargas de Log4j desde diciembre seguían correspondiendo a versiones vulnerables de la biblioteca, y que ese ritmo continuaba siendo de una de cada tres descargas diarias.
Esto sugiere que muchos desarrolladores de aplicaciones no se apresuraron a actualizar las dependencias de sus aplicaciones para incluir las versiones parcheadas de Log4j, pero también podría ser un síntoma de la compleja cadena de dependencias común en el ecosistema de código abierto que llega a muchos niveles de profundidad. Las aplicaciones podrían no tener Log4j como dependencia directa, sino que podrían depender de otros paquetes que, a su vez, dependen de otros paquetes, uno de los cuales podría incluir Log4j sin que el desarrollador de la aplicación principal se diera cuenta si no utiliza soluciones de supervisión de la composición del software.
Sin embargo, este no es el caso de los ataques reportados por CISA, ya que VMware publicó versiones parcheadas, así como soluciones manuales tanto para Horizon como para UAG desde diciembre, por lo que dependía de las organizaciones afectadas el desplegarlas de manera oportuna.
Descargadores de PowerShell
En los ataques investigados por CISA, los hackers explotaron la vulnerabilidad Log4Shell para desplegar scripts de PowerShell que actuaban como descargadores de troyanos. El uso de PowerShell como mecanismo de entrega de malware es muy común entre los actores de amenazas. Esto se debe a que PowerShell es un potente lenguaje de scripting y una tecnología integrada en Windows por defecto para automatizar las tareas de administración del sistema. Bloquear por completo PowerShell en los sistemas de una organización no es un enfoque viable y el uso de reglas agresivas de detección de PowerShell puede generar muchos falsos positivos.
Junto con los scripts de PowerShell, CISA también recuperó dos archivos XML de los ataques que se utilizaron para configurar tareas programadas con fines de persistencia en los sistemas comprometidos. También se encontró un archivo ejecutable escrito en Python que se utilizaba para escanear direcciones IP locales en busca de otros sistemas y puertos abiertos. Además, los scripts de PowerShell también desplegaban Nmap, un escáner de red de código abierto, lo que pone de manifiesto que uno de los objetivos de los atacantes era el reconocimiento de la red y el movimiento lateral.
La CISA publicó descripciones detalladas de los archivos y artefactos utilizados en los ataques, junto con hashes de archivos y otros detalles que podrían ser utilizados por los equipos de seguridad para crear detecciones en sus propias organizaciones.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú