Descubierta en diciembre de 2021, Log4Shell se hizo rápidamente famosa como la vulnerabilidad del año. Aunque la Fundación Apache publicó un parche poco después de su descubrimiento, esta vulnerabilidad sigue siendo una enorme amenaza para usuarios y organizaciones. De hecho, durante las tres primeras semanas de enero, los productos de Kaspersky bloquearon 30,562 intentos de ataque a nivel global mediante exploits dirigidos a la vulnerabilidad Log4Shell. De esos intentos de infección, el 24% se registró en América latina con Brasil, Venezuela, México y Colombia figurando en el Top 20 de los países más afectados.
Log4Shell o CVE-2021-44228 es una vulnerabilidad de Ejecución Remota de Código (RCE), lo que significa que si se explota en un servidor vulnerable los atacantes obtienen la capacidad de ejecutar código arbitrario y potencialmente tomar el control total del sistema. Esta CVE ha sido calificada de criticidad máxima.
La vulnerabilidad es extremadamente atractiva para los ciberdelincuentes porque les permite obtener el control total del sistema de la víctima y es fácil de explotar.
Desde que se informó por primera vez, los productos de Kaspersky han detectado y evitado 154,098 intentos de escanear y atacar dispositivos a través de la vulnerabilidad Log4Shell. La mayoría de los sistemas atacados se encontraban en Rusia (13%), Brasil (8,97%) y Estados Unidos (7,36%). Venezuela (4.50%), México (3.50%) y Colombia (2.15%) también figuran entre los países más atacados, ocupando el cuarto, noveno y décimo-tercer puesto, respectivamente, a escala mundial.
Aunque la Fundación Apache ya ha publicado un parche para esta CVE, lo cierto es que los proveedores tardan semanas o meses en actualizar su software. Como es lógico, los expertos de Kaspersky han observado que los atacantes malintencionados siguen realizando escaneos generalizados para explotar Log4Shell. Durante las tres primeras semanas de enero, los productos de Kaspersky han bloqueado 30,562 intentos de ataque a los usuarios mediante la vulnerabilidad Log4Shell. Además, casi el 40% de estos intentos se detectaron en los primeros cinco días del mes, del 1 al 5 de enero.
“Vemos muchos menos escaneos e intentos de ataques utilizando Log4Shell de los que hubo en las primeras semanas tras su descubrimiento. Aun así, los intentos de explotar esta vulnerabilidad han llegado para quedarse. Como muestra nuestra telemetría, los ciberdelincuentes continúan con sus actividades de escaneo masivo e intentan aprovechar el código explotable. Esta vulnerabilidad está siendo explotada tanto por actores de amenazas avanzadas que apuntan a organizaciones específicas como por oportunistas que simplemente buscan cualquier sistema vulnerable para atacar. Instamos a todos los que aún no lo hayan hecho a que parcheen y utilicen una solución de seguridad sólida para mantenerse protegidos“, comenta Evgeny Lopatin, experto en seguridad de Kaspersky.
Los productos de Kaspersky protegen contra los ataques que aprovechan las vulnerabilidades, incluyendo el uso como prueba de concepto con los siguientes nombres:
- UMIDS: Intrusion.Generic.CVE-2021-44228.
- PDM: Exploit.Win32. Generic
Para protegerse de esta nueva vulnerabilidad, los expertos de Kaspersky recomiendan:
- Instalar la versión más reciente de la librería. Puede descargarla en la página del proyecto. En el caso de utilizar la librería en un producto de terceros, es necesario controlar e instalar las actualizaciones oportunas de un proveedor de software.
- Siga las directrices del proyecto Apache Log4j https://logging.apache.org/log4j/2.x/security.html
- Se recomienda a las empresas utilizar una solución de seguridad que ofrezca componentes de prevención de exploits, vulnerabilidad y gestión de parches, como Kaspersky Endpoint Security for Business. Nuestro componente de prevención automática de exploits supervisa las acciones sospechosas de las aplicaciones y bloquea la ejecución de archivos maliciosos.
- Utilice soluciones como Kaspersky Endpoint Detection and Response y el servicio Kaspersky Managed Detection and Response, que ayudan a identificar y detener el ataque en etapas tempranas, antes de que los atacantes alcancen su objetivo.