Arctic Wolf, una empresa líder en operaciones de seguridad, ha puesto a disposición del público en Github Disposal el script de detección Log4Shell Deep Scan para detectar CVE-2021-45046 y CVE-2021-44228 en archivos JAR, WAR y EAR. El script ya ha sido utilizado con éxito por más de 2.300 clientes de Arctic Wolf en todo el mundo.
El script, disponible para dispositivos Windows, macOS y Linux, realiza un análisis profundo de los sistemas de archivos de los hosts para identificar aplicaciones y bibliotecas Java con código Log4j vulnerable. Si se detecta el código Log4j afectado, el script lo marca y genera la ubicación de almacenamiento dentro del sistema de archivos. Las empresas pueden así identificar aplicaciones y sistemas que se ven afectados por la vulnerabilidad Log4J.
Descargue "Log4Shell Deep Scan" en Github aquí
Para obtener más información, consulte el archivo readme.txt relacionado en GitHub. Arctic Wolf continúa invitando a la comunidad de seguridad a seguir desarrollando "Log4Shell Deep Scan" para sus propios casos de uso. Arctic Wolf no recopila ni envía información a Arctic Wolf.
¿Por qué usar Log4Shell Deep Scan?
Identificar todas las instancias vulnerables de Log4j dentro de una organización es actualmente un gran desafío para los equipos de TI y seguridad. Actualizar la criticidad del último CVE-2021-45046 requiere volver a escanear y aplicar parches a los sistemas y activos.
Log4Shell Deep Scan debe usarse para complementar y no reemplazar las soluciones existentes de escaneo de vulnerabilidades basadas en la red. Arctic Wolf recomienda que las empresas ejecuten la herramienta primero en sus sistemas de TI más críticos y de acceso público y luego analicen todos los demás sistemas, incluidos los sistemas ubicados detrás de un perímetro de seguridad.
Al mostrar qué aplicaciones se ven afectadas y dónde se encuentra cada vulnerabilidad, la herramienta permite que los equipos de seguridad y TI prioricen y se dirijan rápidamente a esas vulnerabilidades.
Las vulnerabilidades de Log4j / Log4Shell se explotan a largo plazo
Arctic Wolf ha observado una gran cantidad de actividades de escaneo relacionadas con las vulnerabilidades y ataques de Log4j/Log4Shell en los que los actores de amenazas intentan propagar el malware criptográfico. Los actores de amenazas de ransomware también han comenzado a utilizar activamente Log4Shell como vector de entrada para sus ataques.
Arctic Wolf rastrea varios grupos de atacantes conocidos, incluidos los de China, Irán, Corea del Norte y Turquía, que explotan la vulnerabilidad Log4J. Estos y otros actores de amenazas han estado activos desde la semana anterior, luego de darse cuenta de una vulnerabilidad de día cero. Tan pronto como la atención pública en las empresas disminuya, se puede esperar que se lleven a cabo más pasos y actividades de ataque después del compromiso inicial, por lo que se requerirá una atención constante y un monitoreo de seguridad detallado, especialmente en el futuro cercano.
¿Qué sigue para Log4Shell?
Log4Shell ha mantenido en vilo al mundo de las TI durante una semana y media. La situación evoluciona constantemente y es de esperar que esta vulnerabilidad y los efectos asociados preocupen a las empresas durante mucho tiempo. Por lo tanto, los equipos de seguridad e I+D de Arctic Wolf desarrollaron herramientas de detección adicionales basadas en los nuevos métodos (por ejemplo, TTP) que es probable que utilicen los atacantes. Esto también incluye detectar las variaciones de los métodos de ataque de Log4J y reconocer, contener y erradicar inmediatamente los exploits exitosos.
Se puede suponer que los actores de amenazas sofisticados están utilizando el escaneo Log4J generalizado y los ataques de productos básicos para "volar por debajo del radar" con sus actividades para comprometer objetivos de alto nivel. Además, se puede esperar que en un futuro próximo haya muchos más casos de ransomware que moneticen los exitosos ataques de Log4j. Para obtener más información sobre el impacto de Log4Shell, consulte el seminario web bajo demanda de Arctic Wolf.
Más en ArcticWolf.com
Acerca del lobo ártico
Arctic Wolf® es líder mundial en operaciones de seguridad y proporciona la primera plataforma de operaciones de seguridad nativa de la nube para defenderse contra los riesgos cibernéticos. Sobre la base de la telemetría de amenazas que abarca el punto final, la red y las fuentes de la nube, Arctic Wolf® Security Operations Cloud analiza más de 1,6 billones de eventos de seguridad por semana en todo el mundo. Proporciona información crítica para la empresa sobre casi todos los casos de uso de seguridad y optimiza las soluciones de seguridad heterogéneas de los clientes. La plataforma Arctic Wolf® es utilizada por más de 2.000 clientes en todo el mundo. Proporciona detección y respuesta automatizadas a amenazas, lo que permite a las organizaciones de todos los tamaños configurar operaciones de seguridad de clase mundial con solo presionar un botón.