Los profesionales de la seguridad dicen que es una de las peores vulnerabilidades informáticas que jamás hayan visto. Dicen que los piratas informáticos chinos e iraníes respaldados por el estado y los mineros de criptomonedas deshonestos ya se han apoderado de él.
El Departamento de Seguridad Nacional está haciendo sonar una alarma terrible, ordenando a las agencias federales que eliminen urgentemente el error porque es muy fácil de explotar, y diciéndoles a quienes tienen redes públicas que instalen firewalls si no pueden estar seguros. El software afectado es pequeño y, a menudo, no está documentado.
Detectado en una utilidad ampliamente utilizada llamada Log4j, la falla permite a los atacantes basados en Internet tomar fácilmente el control de todo, desde los sistemas de control industrial hasta los servidores web y la electrónica de consumo. Simplemente identificar qué sistemas utilizan la utilidad es un desafío; a menudo está oculto bajo capas de otro software.
La principal funcionaria de defensa de ciberseguridad de EE. UU., Jen Easterly, consideró la falla “una de las más graves que he visto en toda mi carrera, si no la más grave” en una llamada el lunes con funcionarios estatales y locales y socios del sector privado. Revelado públicamente el jueves pasado, es catnip para ciberdelincuentes y espías digitales porque permite una entrada fácil y sin contraseña.
La Agencia de Seguridad de Infraestructura y Ciberseguridad, o CISA, que dirige Easterly, colocó una página de recursos el martes para ayudar a borrar una falla que dice que está presente en cientos de millones de dispositivos. Otros países altamente informatizados se lo estaban tomando con la misma seriedad, y Alemania activó su centro nacional de crisis de TI.
Se expuso una amplia franja de industrias críticas, que incluyen energía eléctrica, agua, alimentos y bebidas, fabricación y transporte, dijo Dragos, una firma líder en ciberseguridad de control industrial. “Creo que no veremos a un solo proveedor de software importante en el mundo, al menos en el lado industrial, sin problemas con esto”, dijo Sergio Caltagirone, vicepresidente de inteligencia de amenazas de la compañía.
Eric Goldstein, quien dirige la división de ciberseguridad de CISA, dijo que Washington estaba liderando una respuesta global. Dijo que no se sabe que ninguna agencia federal se haya visto comprometida. Pero estos son los primeros días.
“Lo que tenemos aquí es una vulnerabilidad extremadamente extendida, fácil de explotar y potencialmente muy dañina que ciertamente podría ser utilizada por los adversarios para causar un daño real”, dijo.
UNA PEQUEÑA PIEZA DE CÓDIGO, UN MUNDO DE PROBLEMAS
El software afectado, escrito en el lenguaje de programación Java, registra la actividad del usuario en las computadoras. Desarrollado y mantenido por un puñado de voluntarios bajo los auspicios de la Apache Software Foundation de código abierto, es extremadamente popular entre los desarrolladores de software comercial. Se ejecuta en muchas plataformas (Windows, Linux, macOS de Apple) y funciona con todo, desde cámaras web hasta sistemas de navegación para automóviles y dispositivos médicos, según la firma de seguridad Bitdefender.
Goldstein dijo a los reporteros en una conferencia telefónica el martes por la noche que CISA actualizará un inventario de software parcheado a medida que haya correcciones disponibles. Log4j a menudo está integrado en programas de terceros que sus propietarios deben actualizar. “Esperamos que la remediación lleve algún tiempo”, dijo.
Apache Software Foundation dijo que el gigante tecnológico chino Alibaba le notificó de la falla el 24 de noviembre. Se necesitaron dos semanas para desarrollar y lanzar una solución.
Más allá de aplicar parches para corregir la falla, los profesionales de la seguridad informática tienen un desafío aún más abrumador: tratar de detectar si se aprovechó la vulnerabilidad, si se pirateó una red o un dispositivo. Eso significará semanas de seguimiento activo. Un fin de semana frenético de tratar de identificar – y cerrar de golpe – las puertas abiertas antes de que los piratas informáticos las explotaran ahora se convierte en un maratón.
TRANQUILIDAD ANTES DE LA TORMENTA
“Mucha gente ya está bastante estresada y bastante cansada de trabajar durante el fin de semana, cuando realmente vamos a estar lidiando con esto en el futuro previsible, bastante bien en 2022”, dijo Joe Slowik, líder de inteligencia de amenazas en la red. firma de seguridad Gigamon.
La firma de ciberseguridad Check Point dijo el martes que detectó más de medio millón de intentos de actores maliciosos conocidos para identificar la falla en las redes corporativas en todo el mundo. Dijo que la falla se aprovechó para plantar malware de minería de criptomonedas, que utiliza ciclos de computadora para extraer dinero digital subrepticiamente, en cinco países.
Hasta el momento, no se han detectado infecciones de ransomware exitosas que aprovechen la falla. Pero los expertos dicen que probablemente sea solo cuestión de tiempo.
“Creo que lo que va a pasar es que pasarán dos semanas antes de que se vea el efecto de esto porque los piratas informáticos entraron en las organizaciones y estarán averiguando qué hacer a continuación”. John Graham-Cumming, director técnico de Cloudflare, cuya infraestructura en línea protege los sitios web de las amenazas en línea.
Estamos en una pausa antes de la tormenta, dijo el investigador principal Sean Gallagher de la firma de ciberseguridad Sophos.
“Esperamos que los adversarios probablemente obtengan el mayor acceso a todo lo que puedan obtener en este momento con el fin de monetizarlo y / o capitalizarlo más adelante”. Eso incluiría extraer nombres de usuario y contraseñas.
Los piratas informáticos chinos e iraníes respaldados por el estado ya han explotado la falla, presumiblemente para el ciberespionaje, y se esperaba que otros actores estatales también lo hicieran, dijo John Hultquist, un importante analista de amenazas de la firma de ciberseguridad Mandiant. No quiso nombrar el objetivo de los piratas informáticos chinos ni su ubicación geográfica. Dijo que los actores iraníes son “particularmente agresivos” y han participado en ataques de ransomware principalmente con fines disruptivos.
SOFTWARE: ¿INSEGURO POR DISEÑO?
El episodio de Log4j expone un problema mal abordado en el diseño de software, dicen los expertos. Demasiados programas utilizados en funciones críticas no se han desarrollado con suficiente atención a la seguridad.
No se debe culpar tanto a los desarrolladores de código abierto como los voluntarios responsables de Log4j como a toda una industria de programadores que a menudo incluyen a ciegas fragmentos de dicho código sin hacer la debida diligencia, dijo Slowik de Gigamon.
Las aplicaciones populares y personalizadas a menudo carecen de una “Lista de materiales de software” que les permita a los usuarios saber qué hay debajo del capó, una necesidad crucial en momentos como este.
“Obviamente, esto se está convirtiendo en un problema cada vez mayor, ya que los proveedores de software en general están utilizando software disponible abiertamente”, dijo Caltagirone de Dragos.
Particularmente en los sistemas industriales, agregó, los sistemas anteriormente analógicos en todo, desde los servicios públicos de agua hasta la producción de alimentos, se han actualizado en las últimas décadas digitalmente para su gestión automatizada y remota. “Y una de las formas en que lo hicieron, obviamente, fue a través de software y mediante el uso de programas que utilizaban Log4j”, dijo Caltagirone.
Comments