Microsoft dice que la situación sólo va a empeorar: ha visto cómo atacantes patrocinados por gobiernos y ciberdelincuentes han sondeado los sistemas en busca del fallo Log4Shell hasta finales de diciembre.
Atacantes lanzaron con fuerza intentos de explotación y pruebas durante las últimas semanas de diciembre, dijo Microsoft el lunes, en la última actualización de su página de presentación y orientación en torno a las fallas en la biblioteca de registro Log4j de Apache.
"Hemos observado que muchos atacantes han añadido exploits de estas vulnerabilidades en sus kits de malware y tácticas existentes, desde mineros de monedas hasta ataques con teclado", según Microsoft.
Esto llega tras la noticia de que los incesantes ataques a Log4Shell provienen de actores de estados-nación que están probando y ya han implementado el exploit: Hasta el 15 de diciembre, se habían lanzado más de 1,8 millones de ataques, contra la mitad de las redes corporativas, utilizando al menos 70 familias de malware distintas, para explotar los fallos.
¿Qué es Log4Shell?
Las vulnerabilidades de ejecución remota de código (RCE) en Apache Log4j 2 - CVE-2021-44228, CVE-2021-45046, CVE-2021-44832 - se conocen colectivamente como Log4Shell. A las pocas horas de la revelación pública del fallo inicial, el 10 de diciembre, los atacantes estaban buscando servidores vulnerables y desencadenando ataques de rápida evolución para lanzar mineros de monedas, Cobalt Strike, el troyano de acceso remoto (RAT) Orcus, shells bash inversos para futuros ataques, Mirai y otras redes de bots, y puertas traseras.
El nuevo vector de ataque presentado por Log4Shell es vasto, severo y tiene un amplio potencial de explotación generalizada. El fallo, que es súper fácil de explotar, reside en la omnipresente biblioteca de registro de Java Apache Log4j y podría permitir un RCE no autenticado y una toma de control completa del servidor.
A los tres días de la revelación del fallo, ya se estaban produciendo mutaciones. En 10 días, la famosa red de ransomware Conti había creado una cadena de ataque integral contra Log4Shell. La semana pasada, el 30 de diciembre, la amenaza persistente avanzada (APT) Aquatic Panda tenía como objetivo las universidades con herramientas de explotación de Log4Shell en un intento de robar inteligencia industrial y secretos militares.
Peticiones HTTP ofuscadas
Recientemente, Microsoft ha observado que los atacantes ofuscan las peticiones HTTP realizadas contra los sistemas objetivo. Esas peticiones generan un registro utilizando Log4j 2 que aprovecha la interfaz de nombres y directorios de Java (JNDI) para realizar una petición al sitio controlado por el atacante. La vulnerabilidad hace entonces que el proceso explotado llegue al sitio y ejecute la carga útil.
Microsoft ha observado muchos ataques en los que el parámetro propiedad del atacante es un sistema de registro de DNS, con la intención de registrar una solicitud al sitio para tomar una huella digital de los sistemas vulnerables. La cadena de caracteres que permite la explotación de Log4Shell contiene "jndi", seguido del protocolo -como "ldap", "ldaps" "rmi", "dns", "iiop" o "http"- y luego el dominio del atacante.
Pero para evadir la detección, los atacantes están mezclando los patrones de solicitud: Por ejemplo, Microsoft ha visto escribir código de explotación que ejecuta un comando inferior o superior dentro de la cadena de explotación. Incluso se están realizando intentos de ofuscación más complicados para tratar de eludir las detecciones de coincidencia de cadenas, como el que se muestra en la siguiente cadena:
Los servidores de Minecraft siguen siendo explotados
La explotación continúa en los servidores de Minecraft no alojados por Microsoft, dijo la compañía: es decir, el mismo tipo de servidores donde se descubrió por primera vez Log4j.
Microsoft ha confirmado los informes públicos sobre la entrega del ransomware Khonsari como carga útil después de la explotación, como ha detallado Bitdefender. Los datos del antivirus Microsoft Defender han mostrado un pequeño número de casos lanzados desde clientes de Minecraft comprometidos conectados a servidores de Minecraft modificados que ejecutan una versión vulnerable de Log4j 2 mediante el uso de un cargador de mods de Minecraft de terceros, dijo la compañía.
"En estos casos, un adversario envía un mensaje malicioso dentro del juego a un servidor vulnerable de Minecraft, que explota CVE-2021-44228 para recuperar y ejecutar una carga útil alojada por el atacante tanto en el servidor como en los clientes vulnerables conectados", dijo Microsoft. "Observamos que la explotación conduce a un archivo de clase Java malicioso que es el ransomware Khonsari, que luego se ejecuta en el contexto de javaw.exe para pedir un rescate al dispositivo".
Aunque Minecraft no se instala habitualmente en las redes empresariales, Microsoft también ha observado que se lanzan shells inversos basados en PowerShell a los sistemas cliente de Minecraft a través de la misma técnica de mensajes maliciosos, lo que permite a un actor hacerse con el control total de un sistema comprometido, que luego utiliza para ejecutar Mimikatz para robar credenciales.
"Estas técnicas se asocian típicamente con los compromisos de la empresa con la intención de movimiento lateral", dijo Microsoft, lo que significa que el objetivo en la orientación de los usuarios de Minecraft, que tienden a ser niños, parece poco claro. Todavía es pronto en esta campaña: Todavía no ha habido actividad de seguimiento detectable, "lo que indica que el atacante puede estar recogiendo el acceso para su uso posterior."
Microsoft ha instado a los clientes de Minecraft que gestionan sus propios servidores a que desplieguen la última actualización del servidor de Minecraft y a que los jugadores tengan precaución conectándose únicamente a servidores de Minecraft de confianza.
Actividad a nivel mundial
El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) también ha observado que el fallo CVE-2021-44228 está siendo utilizado por múltiples grupos de actividad de países originarios de China, Irán, Corea del Norte y Turquía.
Los actores están experimentando durante el desarrollo, integrando las vulnerabilidades en el despliegue de cargas útiles y enviando explotaciones contra objetivos.
Un ejemplo: MSTIC ha observado que el actor iraní Phosphorus, también conocido como Charming Kitten, TA453, APT35, Ajax Security Team, NewsBeef o Newscaster, entre otros, ha adquirido y modificado el exploit Log4j.
"Evaluamos que Phosphorus ha puesto en funcionamiento estas modificaciones", observó Microsoft.
MSTIC también ha observado que el grupo Hafnium, vinculado a China, utiliza la vulnerabilidad para atacar la infraestructura de virtualización con el fin de ampliar el objetivo típico del grupo. "En estos ataques, se observó que los sistemas asociados a Hafnium utilizaban un servicio DNS típicamente asociado a la actividad de pruebas para tomar huellas de los sistemas", señalaron los investigadores.
"Con los países que están probando e implementando el exploit y los conocidos agentes de acceso asociados al ransomware que lo utilizan, recomendamos encarecidamente aplicar los parches de seguridad y actualizar los productos y servicios afectados tan pronto como sea posible", dijo Microsoft.
Infección de RATs
Microsoft también está viendo más kits de herramientas de acceso remoto y reverse shells que se lanzan a través de la explotación de CVE-2021-44228, que es un malware que los actores utilizan para los ataques de teclado. Además de las balizas Cobalt Strike y los shells inversos PowerShell vistos en informes anteriores, la compañía también ha visto Meterpreter, Bladabindi y HabitsRAT.
"Las actividades de seguimiento de estos shells no se han observado en este momento, pero estas herramientas tienen la capacidad de robar contraseñas y moverse lateralmente", señaló Microsoft.
La actividad proviene de ataques a pequeña escala (relacionados posiblemente con campañas de prueba), dijo el gigante del software. Además, los investigadores han observado la adición de CVE-2021-44428 a las campañas existentes que aprovechaban las vulnerabilidades para lanzar herramientas de acceso remoto. Microsoft dijo que la campaña HabitsRAT se solapaba con la infraestructura utilizada en campañas anteriores.
Esto es sólo el principio
Por si todo esto fuera poco, es probable que todo vaya a peor, según Microsoft. Al igual que Log4j está escondido en rincones y grietas, también se van a añadir exploits a otros conjuntos de herramientas de los atacantes: "La mayoría de los ataques que hemos observado hasta ahora han sido principalmente escaneos masivos, minería de monedas, establecimiento de shells remotos y actividad de red-team, pero es muy probable que los atacantes continúen añadiendo exploits para estas vulnerabilidades a sus kits de herramientas", dijo Microsoft.
¿Qué hacer? Es un poco tarde para eso
Jake Williams, cofundador y director de tecnología de BreachQuest, se hizo eco de la afirmación de Microsoft de que esta vulnerabilidad tendrá una cola extremadamente larga para su explotación, teniendo en cuenta que muchas organizaciones ni siquiera se dan cuenta de que están ejecutando un software vulnerable.
"Desafortunadamente (y nadie quiere escuchar esto), no hay nada más que decir sobre la remediación de log4j que no se haya dicho ya cientos de veces", dijo Williams a Threatpost. "Cualquier organización que se pregunte hoy qué tiene que hacer con respecto a log4j casi seguro que tiene un incidente en sus manos. Todas las organizaciones con un equipo de seguridad saben lo que hay que hacer para cazar a log4j, sólo necesitan los recursos y el respaldo político para conseguirlo". Ser explotado a través de un sistema orientado a Internet que ejecuta un log4j vulnerable en este momento es un fallo de liderazgo, no uno técnico."
Fuente: https://threatpost.com/microsoft-rampant-log4j-exploits-testing/177358/