Los ciberdelincuentes que buscan sacar provecho de la vulnerabilidad Log4Shell están atacando dispositivos de SolarWinds y ZyXEL de los que se sabe que utilizan la biblioteca Log4j dentro de su software, según dos informes publicados el miércoles por Microsoft y Akamai.
Los ataques más urgentes son los detectados por Microsoft, que dijo haber descubierto a un atacante que abusaba de Log4Shell en combinación con una vulnerabilidad de día cero en el servidor de intercambio de archivos SolarWinds Serv-U.
Con el nombre de CVE-2021-35247, Microsoft informó del problema a SolarWinds, que publicó una solución el martes.
Descrito como un problema de validación de entrada en la pantalla de inicio de sesión web de Serv-U, Microsoft dijo que los atacantes estaban utilizando el día cero para eludir la validación de entrada en el proceso de inicio de sesión utilizando caracteres no estándar y luego utilizando el exploit Log4Shell para tomar el control de los servidores Serv-U.
Además de estos ataques, el investigador de seguridad de Akamai, Larry Cashdollar, también informó de la detección de una red de bots Mirai DDoS que se dirige a los dispositivos de red de ZyXEL.
"Podría ser que Zyxel fuera un objetivo específico, ya que publicaron un blog en el que afirmaban que se veían afectados por la vulnerabilidad log4j", dijo Cashdollar en una entrada del blog el miércoles.
Aunque los ciclos de noticias se mueven rápidamente de un tema a otro, la situación en torno al exploit Log4Shell no ha cambiado desde el mes pasado, y la vulnerabilidad sigue siendo objeto de un fuerte ataque y abuso por parte de los atacantes que buscan entrar en las redes corporativas.
En el momento de escribir este artículo, se han recibido informes sobre actores de amenazas como bandas de ransomware, grupos de ciberespionaje de países, bandas de minería de criptomonedas, corredores de acceso inicial y redes de bots DDoS, todos los cuales han utilizado la vulnerabilidad en operaciones anteriores.
Aunque la Apache Software Foundation ha publicado parches para la biblioteca Log4j, es probable que continúen los ataques contra las aplicaciones que utilizan la biblioteca, ya que no todas estas aplicaciones han publicado su propio conjunto de actualizaciones de seguridad, lo que deja muchas redes expuestas a los ataques y crea un terreno fértil para la explotación que seguramente durará años.
Fuente: https://therecord.media/new-log4j-attacks-target-solarwinds-zyxel-devices/?web_view=true