27 de diciembre 2021

A causa de detección de vulnerabilidades peligrosas de la biblioteca de logging Log4j 2 — CVE-2021-44228, CVE-2021-45046, CVE2021-4104 и CVE-2021-42550 en diciembre, la empresa Doctor Web recomienda a los usuarios cumplir con las medidas de seguridad. La biblioteca se usa para llevar los registros en los proyectos en lenguaje Java y forma parte del proyecto común Apache Logging Project. Las vulnerabilidades permiten a los usuarios ejecutar un código aleatorio en el sistema, provocar un rechazo de servicio o revelar la información privada. Aunque la empresa Apache ya ha lanzado varios parches, las amenazas pueden seguir siendo peligrosas.

La vulnerabilidad más crítica Log4Shell (CVE-2021-44228) está basada en lo siguiente: en caso de logging por la biblioteca Log4j 2 de los mensajes creados de forma especial, se realiza una solicitud al servidor controlado por los malintencionados y posteriormente se ejecuta un código.

Los ciberdelincuentes difunden los miners a través de las vulnerabilidades — el malware para obtener la criptomoneda, los backdoors para acceder de forma remota al dispositivo, así como los troyanos DDoS que permiten realizar los ataques DDoS.

Registramos los ataques con exploits para las vulnerabilidades detectadas en uno de nuestros honeypots (de inglés honeypot, «un tarro de miel») — un servidor especial usado por los expertos de Doctor Web como aliciente para los malintencionados. La mayor actividad de la amenaza se refiere al periodo de 17 a 20 de diciembre, pero los ataques siguen hoy día también.

Los ataques se realizan desde 72 distintas direcciones IP. En cuanto a la distribución por países, la mayor parte de los ataques de realizaron desde las direcciones IP alemanas — 21%. Posteriormente en el listado con pequeño retraso siguen las direcciones IP de Rusia — 19,4%. Y al final de los tres líderes figuran las direcciones IP norteamericanas y chinas —9,7% respectivamente.

Algunos proyectos dependen directamente de Log4j 2, otras tienen una o varias dependencias indirectas. De todas formas, las vulnerabilidades influyen al rendimiento de muchos proyectos en todo el mundo. Recomendamos prestar mucha atención al lanzamiento de actualizaciones de software que usa la biblioteca Log4j 2, e instalar las mismas de forma oportuna.

Así mismo, recomendamos actualizar Dr.Web con regularidad — nuestros productos detectan correctamente la carga útil del malware que penetra en los dispositivos a través de las vulnerabilidades Log4j 2.