Los piratas informáticos están explotando activamente Log4Shell en todo el mundo

Log4Shell, un exploit de día cero presentado al público a fines de la semana pasada, ahora está incendiando la mayor parte de Internet. Los investigadores descubrieron que varios actores de amenazas explotan activamente este error por varias razones.

Pocos de ellos están escaneando la web en busca de servidores vulnerables para filtrar datos, instalando malware para ejecutar mineros de criptomonedas e incluso comprometiendo los dispositivos IoT para atraerlos a una botnet. Hay un parche disponible del proveedor y se recomienda aplicarlo inmediatamente.

Exploits de Log4Shell en estado salvaje

Al igual que las campañas BlueKeep y SolarWinds, ahora estamos comenzando a ver una gran ola de ciberataques basados ​​en la vulnerabilidad de seguridad Log4j recientemente revelada. Nombrado como Log4Shell, esto fue descubierto por el equipo de seguridad en la nube de Alibaba la semana pasada con el exploit de prueba de concepto publicado abiertamente.

Esto llevó a muchos investigadores de seguridad y actores de amenazas a intervenir con sus razones personales para explotar. Por ejemplo, como observado por BleepingComputer, ¡Varios investigadores y actores de amenazas están escaneando activamente la web en busca de servidores vulnerables Log4j y están implementando malware para instalar mineros de criptomonedas!

Han encontrado una puerta trasera de Kinsing y una botnet de minería de criptomonedas que está explotando el error Log4j con cargas útiles codificadas en Base64 para ejecutar scripts y códigos de shell, que eliminan cualquier malware existente en el sistema e instalan su minero de criptomonedas.

También, hay un informe de Netlab 360 que los actores de amenazas explotan servidores vulnerables para instalar el malware Mirai y Muhstik, cuyo trabajo es comprometer y agregar tantos dispositivos y servidores de IoT a sus redes de bots. Estos, a cambio, se utilizarán para implementar criptomineros o realizar ataques DDoS a gran escala.

El Centro de Inteligencia de Amenazas de Microsoft también ataques notados contra servidores con vulnerabilidades Log4j, donde los actores de la amenaza lanzaban balizas Cobalt Strike a la vigilancia de red remota y ejecutaban comandos adicionales.

Por fin, los investigadores de seguridad están escaneando y explotando servidores vulnerables con errores de Log4j en busca de recompensas por errores y exponiendo la debilidad de empresas en particular. Están obligando a los servidores a acceder a las URL o realizar solicitudes de DNS para dominios de devolución de llamada. Algunos de ellos incluyen:

interactsh.com
burpcollaborator.net
dnslog.cn
bin${upper:a}ryedge.io
leakix.net
bingsearchlib.com
205.185.115.217:47324
bingsearchlib.com:39356
canarytokens.com

La fundación de software Apache, el fabricante de paquetes de registro de Java Log4j, ha lanzó una versión parcheada de este software. Sin embargo, muchos desconocen las explotaciones en la naturaleza y están siendo víctimas de los piratas informáticos. Por lo tanto, se recomienda encarecidamente actualizar los sistemas lo antes posible para mantener la seguridad.