Log4Shell, un exploit de dÃa cero presentado al público a fines de la semana pasada, ahora está incendiando la mayor parte de Internet. Los investigadores detectaron que varios actores de amenazas explotan activamente este error por varias razones.
Pocos de ellos están escaneando la web en busca de servidores vulnerables para filtrar datos, instalando malware para ejecutar mineros de criptomonedas e incluso comprometiendo los dispositivos IoT para atraerlos a una red de bots. Hay un parche disponible del proveedor y se recomienda aplicarlo de inmediato.
Exploits de Log4Shell en estado salvaje
Al igual que las campañas de BlueKeep y SolarWinds, ahora estamos comenzando a ver una gran ola de ataques cibernéticos basados ​​en la vulnerabilidad de seguridad Log4j recientemente revelada. Nombrado como Log4Shell, esto fue descubierto por el equipo de seguridad en la nube de Alibaba la semana pasada con el exploit de prueba de concepto publicado abiertamente.
Esto llevó a muchos investigadores de seguridad y actores de amenazas a saltar con sus razones personales para explotar. por ejemplo, como anotado por BleepingComputer, ¡varios investigadores y actores de amenazas están escaneando activamente la web en busca de servidores vulnerables de Log4j y están implementando malware para instalar mineros de criptomonedas!
Encontraron una puerta trasera Kinsing y una botnet de criptominerÃa que explota el error Log4j con cargas útiles codificadas en Base64 para ejecutar scripts y códigos de shell, que eliminan cualquier malware existente en el sistema e instalan su minero de criptomonedas.
También, hay un informe de Netlab 360 que los actores de amenazas explotan servidores vulnerables para instalar malware Mirai y Muhstik, cuyo trabajo es comprometer y agregar tantos dispositivos y servidores IoT a sus botnets. Estos, a cambio, se utilizarán para implementar criptomineros o realizar ataques DDoS a gran escala.
El Centro de Inteligencia de Amenazas de Microsoft también ataques señalados contra servidores con vulnerabilidades de Log4j, donde los actores de amenazas arrojaban balizas Cobalt Strike a la vigilancia remota de la red y ejecutaban más comandos.
Por fin, los investigadores de seguridad están escaneando y explotando servidores vulnerables con errores de Log4j en busca de recompensas por errores y exponiendo la debilidad de compañÃas particulares. Están obligando a los servidores a acceder a URL o realizar solicitudes de DNS para dominios de devolución de llamada. Algunos de ellos incluyen:
interactsh.com burpcollaborator.net dnslog.cn bin${upper:a}ryedge.io leakix.net bingsearchlib.com 205.185.115.217:47324 bingsearchlib.com:39356 canarytokens.com
La fundación de software Apache, el creador de paquetes de registro Java de Log4j, recientemente lanzó una versión parcheada de este software. Sin embargo, muchos desconocen las explotaciones en la naturaleza y están siendo vÃctimas de los piratas informáticos. Por lo tanto, se recomienda encarecidamente actualizar los sistemas lo antes posible para mantenerse seguro.