Hace unos días se nombraba Log4Shell (CVE-202-44228) como la vulnerabilidad de día cero más crítica de este año 2021, según estimaba la firma de soluciones de compliance y seguridad basadas en la nube Qualys.
Log4Shell está relacionada con la biblioteca de Java Apache Log4j. Esta se encuentra presente en millones de servidores, siendo extremadamente popular. Log4j es una librería desarrollada por Apache Foundation y es ampliamente utilizada tanto por aplicaciones empresariales como por servicios en la nube. Se incluye en frameworks de Java muy populares como son Apache Flink, Apache Druid, Apache Struct2, etc.
Desde la firma de seguridad Sophos han querido indagar para averiguar de dónde provienen los intentos de explotación de la vulnerabilidad Log4j, que parecen seguir sucediéndose con intensidad tras una semana desde su exposición.
“En anteriores casos de intentos de explotación y escaneos de vulnerabilidad hemos visto grandes picos iniciales seguidos de caídas significativas. En el caso de Log4j, no estamos observando ningún descenso, sino más bien escaneos e intentos de explotación diarios detectados desde una infraestructura distribuida globalmente", explican desde Sophos.
"Esperamos que los altos niveles de actividad continúen, debido a la naturaleza multifacética de la vulnerabilidad y a la amplia extensión de parches necesarios para protegerse", prevén.
Escala en India y EE.UU.
La firma señala que a pesar de que una buena parte de las solicitudes para conectarse desde otros lugares del mundo provienen de pruebas benignas o investigaciones llevadas a cabo por pruebas de penetración y otros investigadores de seguridad, una gran parte de ellas son maliciosas.
Así, la telemetría de Sophos pone de manifiesto que el 59% de los intentos de ataque tratan de poner en contacto a Log4j con direcciones de internet en la India. Además, más del 40% de los intentos de explotación tratan de establecer conexión de Log4j con direcciones de EE.UU.
Sin embargo, las tentativas de ataques tendrían su origen predominantemente en China y Rusia y la mayoría de estos intentos están relacionados con la ciberdelincuencia.
"Un servidor en Rusia, conectado a la red de bots Kinsing, dedicada al minado de criptomonedas, es responsable de más del 10% de los intentos de explotación que Sophos ha detectado, más del 33% del tráfico procedente de ese país", concluye la compañía de seguridad.