Recomendaciones de Akamai para la mitigación de Log4j
Resumen ejecutivo
Se ha dado a conocer públicamente una vulnerabilidad crítica de ejecución de código remoto (CVE-2021-44228) en Log4j, una utilidad de registro de código abierto muy utilizada en aplicaciones, incluidas muchas de las que usan grandes organizaciones empresariales.
La vulnerabilidad permite a los atacantes exfiltrar información de sistemas que ejecutan aplicaciones que utilizan la biblioteca, así como ejecutar código malicioso en dichos sistemas, mediante la manipulación de los mensajes de registro. Hay servidores que realizan análisis a lo largo y ancho de Internet para localizar servidores vulnerables y nuestros equipos de inteligencia contra amenazas han detectado un volumen alarmante de intentos de aprovechar esta vulnerabilidad. Log4j está integrada en muchos marcos conocidos y muchas aplicaciones Java, lo que hace que el impacto sea generalizado.
El amplio conjunto de seguridad de Akamai, incluidas las soluciones de seguridad de las API y las aplicaciones, Secure Internet Access Enterprise y Guardicore Segmentation, está bien posicionado para ayudar a abordar esta vulnerabilidad de diferentes maneras. Se recomienda encarecidamente que las organizaciones actualicen Log4j a su versión más reciente: 2.16.0. Como consecuencia del crecimiento rápido de esta vulnerabilidad, los equipos de Akamai seguirán desarrollando e implantando medidas de mitigación para ayudar a nuestros clientes.
¿Qué es la vulnerabilidad de Log4j?
El 9 de diciembre de 2021, se informó de una vulnerabilidad crítica relacionada con la ejecución de código remoto no autenticada y la exfiltración de datos (CVE-2021-44228) en Log4j, lo que generó gran preocupación debido al considerable uso de la función de registro de código abierto. Este uso generalizado, junto con la facilidad de llevar a cabo un ataque, hace que su impacto sea especialmente considerable. Se está intentando activamente aprovechar esta vulnerabilidad y los equipos de seguridad de todo el mundo están trabajando en investigaciones y mitigaciones.
Si el equipo está afectado, el atacante podrá exfiltrar datos y dar una orden remota para que Log4j ejecute un software. De esta forma, el atacante puede ejecutar comandos arbitrarios en un servidor, lo que expondrá información y secretos. De igual modo, el servidor será el punto de partida de ataques adicionales, normalmente contra equipos bien ocultos en una red sin acceso directo a Internet.
Los desarrolladores de Java utilizan con mucha frecuencia Log4j para facilitar el registro de errores y depurar información. Por tanto, los proveedores de productos con software basado en Java son vulnerables. Incluso si una aplicación no utiliza Log4j directamente, muchas herramientas y marcos comunes utilizan Log4j internamente y, por lo tanto, pueden introducir esta vulnerabilidad en la pila de aplicaciones.
¿Cuál es la gravedad de la vulnerabilidad de Log4j?
Aunque Akamai detectó por primera vez los intentos de ataque a la vulnerabilidad de Log4j el 9 de diciembre, cada vez hay más pruebas de que estos ataques podrían haberse producido durante meses. Desde la publicación de la vulnerabilidad, hemos observado diferentes variantes de ataques a un ritmo constante de tráfico de alrededor de 2 millones de intentos por hora. La velocidad a la que están evolucionando las variantes no tiene precedentes.
Más de la mitad (~57 %) de los ataques detectados hasta el momento provienen de atacantes clasificados anteriormente como agentes maliciosos en la base de datos de inteligencia contra amenazas de Akamai. Creemos que, teniendo en cuenta el elevado número de sistemas sin los parches necesarios, los intentos de ataque continuarán en los próximos meses. Los equipos de investigación de seguridad y respuesta a incidentes de Akamai siguen supervisando y protegiendo nuestra infraestructura y a nuestros clientes, aprovechando nuestra visibilidad e inteligencia únicas.
Si bien la medida más importante que se debe aplicar a cualquier vulnerabilidad es aplicar el parche correspondiente a los sistemas infectados, los investigadores de seguridad saben que eso lleva tiempo. En muchos casos, es posible que las organizaciones aún no sepan qué sistemas son vulnerables. Por este motivo, hay que implantar otras mitigaciones para reducir lo máximo posible la superficie de amenazas.
Para ello, Akamai tiene una serie de recomendaciones. En este momento, la mayor cantidad de tráfico de ataque que vemos asociada con Log4j se basa en aplicaciones web. Por lo tanto, la medida más importante que tienen que poner en marcha las organizaciones después de aplicar los parches correspondientes es utilizar las protecciones de API y aplicaciones web de Akamai. Siga leyendo para saber qué tiene que hacer en su empresa conforme evolucionen los vectores de ataque y cómo aplicar estas acciones.
Mitigación de los ataques a Log4j con el paquete de protección de API y aplicaciones de Akamai
Akamai sigue actualizando las reglas de firewall de aplicaciones web (WAF) para proporcionar protección contra este ataque y sus múltiples variantes. Entre estas se incluyen la actualización de la regla 3000014 de Kona Rule Set y el motor de seguridad adaptable de Akamai. En el caso de los clientes que utilizan grupos de ataques automatizados, hemos actualizado el grupo de inyección de comandos. Los clientes que actualmente tengan activadas esas reglas o grupos de ataque en el modo DENEGACIÓN, recibirán protección automática en línea para los siguientes motores de protección y versiones:
Kona Rule Set (KRS): Todas las versiones del 29 de octubre de 2019 o posteriores
Grupos de ataques automatizados (AAG): Todas las versiones
Motor de seguridad adaptable (ASE): Todas las versiones
Es posible que muchos servidores, sobre todo los que se encuentran en entornos de alto riesgo como aquellos con acceso directo a Internet, ya se hayan visto afectados. Para identificar los indicadores de peligro, con el siguiente comando puede ver los intentos de ataque:
sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns)://' /var/log
Para obtener más información sobre las protecciones de API y aplicaciones web de Akamai, siga leyendo o contacte con nosotros.
Si bien las protecciones de WAF pueden ser muy eficaces para los servidores web en esta fase, las organizaciones también deben valorar métodos alternativos de ataque que pueden haber afectado a sus sistemas. Para ello, recomendamos emplear microsegmentación para tener visibilidad de la posible exposición y reducir el riesgo y la propagación.
Detección de ataques a Log4j mediante Secure Internet Access Enterprise
Los investigadores de amenazas de Akamai han revisado los datos de DNS, proxy y sinkhole de los clientes en busca de comportamientos anómalos relacionados con los agentes que intentan utilizar la vulnerabilidad de Log4j. En los datos de DNS, nos sorprendió ver consultas de DNS correspondientes a dominios que incluyen la cadena "jndi:ldap". Son consultas de DNS no válidas que incluyen caracteres no válidos en el nombre de dominio y que, por lo tanto, no tendrán respuesta. Además, hemos visto tráfico en dominios maliciosos conocidos que se redirigió a servidores sinkhole. Esos dominios alojaban código Java malicioso que se empleó para atacar servidores vulnerables. Todas ellas son indicaciones de un posible ataque en las redes de los clientes.
Mitigación de los ataques a Log4j con Guardicore Segmentation de Akamai
Los clientes que utilizan Guardicore Segmentation de Akamai pueden aprovechar su visibilidad a nivel de procesos para identificar las aplicaciones vulnerables y los riesgos de seguridad en el entorno. Se puede emplear para actuar con un control preciso sobre el tráfico de red y así detener los ataques a sistemas vulnerables, sin que se interrumpan las actividades comerciales normales.
¿Qué presenta riesgos de amenaza? Identifique los procesos de Java vulnerables y los ataques a Log4j
Para protegerse de los ataques a Log4j, es necesario identificar primero los procesos que se pueden atacar. Para ello, es necesaria una gran visibilidad del tráfico de red a nivel de procesos, que se consigue mediante Guardicore Segmentation de Akamai. La visibilidad precisa de las conexiones a Internet y del tráfico nos permite ver claramente cuáles son las medidas de mitigación que se deben tomar sin interrumpir las operaciones comerciales.
Detención del ataque: Bloquee los vectores de ataque y los IoC maliciosos
Es fundamental poder tomar medidas una vez que se hayan identificado las aplicaciones vulnerables. Mientras se aplican los parches, Guardicore Segmentation de Akamai ofrece multitud de opciones para avisar de posibles ataques, detenerlos y prevenirlos. Es de vital importancia contar con una solución con control preciso y detallado del tráfico y la comunicación de red para bloquear o aislar con precisión quirúrgica los vectores de ataque de forma que la interrupción de la actividad comercial normal sea mínima o nula. Se incluyen las siguientes:
Bloqueo automático de IoC con el firewall de inteligencia contra amenazas (TIFW) y seguridad de DNS
Cuarentena de todos los servidores afectados
Bloqueo del tráfico entrante y saliente de equipos vulnerables
Bloqueo del tráfico saliente de las aplicaciones Java a Internet
Además, los clientes de Guardicore Hunt tienen a su disposición a un equipo específico de investigadores de seguridad que supervisan e investigan sus entornos continuamente. Las alertas sobre los riesgos de seguridad y los pasos de mitigación recomendados se envían inmediatamente.
Si desea saber más sobre Guardicore Segmentation de Akamai, siga leyendo o contacte con nosotros.
Conclusión
Akamai seguirá compartiendo sus hallazgos, ya que supervisamos e investigamos de cerca los ataques a Log4j y proporcionamos actualizaciones sobre nuestras protecciones y capacidades.
