Una vulnerabilidad cibernética generalizada que abruma a empresas y gobiernos sigue sin resolverse desde su descubrimiento el año pasado.
La firma de seguridad de software Rezilion dijo que casi el 60% de los paquetes de software afectados por problemas en la plataforma de registro de código abierto, Log4J, no fueron reparados cuatro meses después de su descubrimiento y la administración de Biden advierte que los piratas informáticos continúan explotando la falla.
Rezilion dijo que los intentos de explotación activa de la vulnerabilidad del software, Log4Shell, están en curso y señaló que las amenazas persistentes avanzadas (APT) de China e Irán se encuentran entre los atacantes cibernéticos que están utilizando la falla.
Yotam Perkal, jefe de investigación de Rezilion, dijo que su equipo está viendo un patrón de personas que no prestan atención a los riesgos que plantea la falla de seguridad en el código informático ampliamente utilizado, a pesar de las advertencias de los sectores público y privado, incluida la Seguridad Cibernética y de Infraestructura. Agencia.
“Como profesional de la seguridad, te dices a ti mismo: ‘Está bien, no hay forma en este momento de que las organizaciones aún no hayan parcheado, como si no lo supieran, no tomaron las medidas necesarias para protegerse o para protegerse. reducir el riesgo’”, dijo el Sr. Perkal el jueves. “Pero entonces, como vemos ahora, con estos grupos APT que lo están explotando activamente, con la advertencia de CISA, con nuestro informe, ese no es el caso”.
La semana pasada, CISA y el Comando Cibernético de la Guardia Costera de EE. UU. emitieron una alerta que decía que los atacantes cibernéticos patrocinados por el estado estaban usando la falla para obtener acceso inicial a organizaciones que no solucionaron el problema ni crearon soluciones alternativas. Las agencias no identificaron directamente a los atacantes ni a las víctimas.
La firma de ciberseguridad Mandiant dijo anteriormente que observó a piratas informáticos de China e Irán usando la vulnerabilidad, mientras que Microsoft dijo que vio grupos de Corea del Norte y Turquía haciendo lo mismo.
Hafnium, que Microsoft dijo anteriormente que era responsable del ataque a sus servidores Exchange, se encuentra entre los piratas informáticos chinos que explotan la vulnerabilidad, según Rezilion.
La lista de víctimas potenciales abarca muchas industrias debido al uso generalizado de sistemas que incorporan la falla cibernética. Las industrias relacionadas con alimentos, agua, transporte, energía y manufactura estaban entre las expuestas, dijo el año pasado la firma de ciberseguridad de control industrial Dragos.
Parte de la razón por la cual la falla aún existe es que a veces es difícil de detectar.
“Dentro del software empaquetado en entornos de producción, los archivos Java (como Log4J) se pueden anidar unas pocas capas en otros archivos, lo que significa que una búsqueda superficial del archivo no lo encontrará”, se lee en el informe de Rezilion. “Además, las aplicaciones Java se pueden empaquetar de muchas maneras diferentes, lo que crea un verdadero desafío para las herramientas que intentan analizarlas, ya que necesitan admitir todos y cada uno de los formatos de empaque creativos (todavía posibles)”.
El Sr. Perkal dijo que la vulnerabilidad puede ser explotada por atacantes de ransomware, ladrones de datos y para su uso en otros delitos cibernéticos.
Ponerle un precio al caos de Log4J es difícil ya que aún no se conoce el alcance total del daño, pero los delitos cibernéticos relacionados han costado previamente a los estadounidenses miles de millones de dólares.
Por ejemplo, el Informe sobre delitos en Internet de 2021 del FBI, publicado a principios de este año, mostró que las denuncias aumentaron un 7 % con respecto a 2020 y que el costo de los delitos cibernéticos para las víctimas superó los 6900 millones de dólares.
Los esquemas de compromiso de correo electrónico comercial, los delitos de criptomonedas y el ransomware encabezaron la lista de incidentes cibernéticos informados al FBI. Los esquemas de correo electrónico resultaron ser los más costosos, con víctimas que perdieron casi $ 2.4 mil millones el año pasado.
La administración de Biden puede proporcionar más información sobre el daño de la vulnerabilidad cibernética a finales de este verano. A principios de este año, la administración de Biden anunció la creación de la Junta de Revisión de Seguridad Cibernética, le asignó la tarea de investigar Log4J y dijo que se entregaría un informe este verano.