WEB

El pharming es una estafa que los ciberdelincuentes utilizan para instalar código malicioso en ordenadores personales o servidores. El término procede de las palabras inglesas “farming” (cultivo) y “phishing” y representa una técnica nueva y más complicada que los hackers utilizan para acceder a información sensible.

El código malicioso que se utiliza en los ataques de pharming cambia la información de la dirección IP, lo que redirige a los usuarios a sitios web falsos sin su conocimiento o consentimiento. Una vez redirigidos a estas webs falsas, se pide a los usuarios que introduzcan información personal, que luego se utiliza para cometer robos de identidad o fraudes financieros.

Cuando ejecutan ataques de pharming, los atacantes se dirigen principalmente a clientes de bancos u otros sistemas de intercambio monetario. Esta táctica tiene bastante éxito porque permite a los hackers infiltrarse en varios dispositivos a la vez. Además, los hackers no necesitan convencer a los usuarios para que hagan clic en un enlace de correo electrónico dudoso o en un anuncio sospechoso: el código malicioso se descarga automáticamente sin ninguna acción por parte del usuario.

Resto del artículo que nos deja Panda , pincha aquí.

ALERTA: Desde el CCN nos avisan de esta vulnerabilidad y nos piden que hagamos todo lo posible por revisar nuestros servidores web Apache donde se utilice herramientas Java. Literalmente nos dicen desde el CCN:” Nos consta que esta vulnerabilidad esta operativa en el arsenal de más de 12 grupos de ataque y nos consta que esta siendo explotada desde, al menos, el 1 de diciembre.”

Por lo que es interesante revisarlo.

Os dejo contenido el mensaje de la alerta:

Actualización vulnerabilidad en Apache Log4j 2

Fecha de publicación: 14/12/2021
Nivel de peligrosidad: CRÍTICOEl Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa sobre la publicación de actualizaciones de la vulnerabilidad que afecta a Apache Log4j 2.

Como se alertó el pasado viernes, 10 de diciembre, se ha hecho pública una vulnerabilidad que afecta a la librería de registro de Java Apache Log4j 2, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución, además, Log4j permite filtrar los mensajes en función de su importancia.

Nuevas recomendaciones:

Revisar si se está usando log4j
- PowerShell
  - https://github.com/crypt0jan/log4j-powershell-checker
  - gci ‘C:\’ -rec -force -include *.jar -ea 0 | foreach {select-string “JndiLookup.class” $_} | select -exp Path
- Linux
  - find / 2>/dev/null -regex “.*.jar” -type f | xargs -I{} grep JndiLookup.class “{}”
- Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar a True.

- Revisar aplicaciones de Java
  - https://github.com/logpresso/CVE-2021-44228-Scanner (Observación: realiza la mitigación de forma automática)
  - https://github.com/hillu/local-log4j-vuln-scanner
  - https://github.com/mergebase/log4j-detector
- JAR file hashes
  - https://github.com/mubix/CVE-2021-44228-Log4Shell-Hashes
- Class file hashes (2.15.0 no es vulnerable, pero está incluida)
  - https://gist.github.com/olliencc/8be866ae94b6bee107e3755fd1e9bf0d
- JAR and Class hashes
  - https://github.com/nccgroup/Cyber-Defence/tree/master/Intelligence/CVE-2021-44228
- Escaneo de vulnerabilidad en Go
  - https://github.com/hillu/local-log4j-vuln-scanner
- Conjunto de reglas YARA para la detección de versiones de log4j vulnerables a CVE-2021-44228 by looking for the signature of JndiManager prior to 2.15.0.
  - https://github.com/darkarnium/CVE-2021-44228

Revisar si se ha tenido un aumento de conexiones DNS.
- Los intentos durante el fin de semana se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS durante el pasado fin de semana puede ser indicativo de explotación exitosa
Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j
- Revisar si tiene uno de los siguientes aplicativos:
  https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Revisar en logs los siguientes IOC:
https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi”, se pueden apoyar en los siguientes scripts:
https://github.com/Neo23x0/log4shell-detector/
Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.
Actualizar a la versión versión de Log4j, se ha publicado la versión 2.16 https://github.com/apache/logging-log4j2/blob/cffe58f6a433ea1ab60ceb129d4c9b3377acda1d/RELEASE-NOTES.md
La vulnerabilidad también se puede mitigar en versiones anteriores (sólo versión 2.10 y posteriores) estableciendo la propiedad del sistema “log4j2.formatMsgNoLookups” en “true” o eliminando la clase JndiLookup del classpath.
En caso de no poder aplicar las medidas anteriores Deshabilitar JNDI si no se está usando
En caso de no poder aplicar las medidas anteriores eliminar las clases JndiLookup y JndiManager de la biblioteca log4j-core jar. La eliminación de JndiManager causara que no funcione JndiContextSelector y JMSAppender.

En caso de haber detectado la explotación de esta vulnerabilidad puede informar de ello en la siguiente dirección de correo electrónico: incidentes@ccn-cert.cni.es

Posibles vectores de entrada

La vulnerabilidad puede ser explotada fácilmente en múltiples aplicaciones y servidores, una recopilación de aplicaciones comerciales afectadas es la siguiente https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

El exploit puede ser usado en campos propios de las aplicaciones de cada organismo usando los parámetros de comunicaciones o los datos de los formularios de la aplicación.

Se debe prestar especial atención a los siguientes parámetros de entrada de las aplicaciones con conexión a Internet:

X-Api-Version
User-Agent
Referer
X-Druid-Comment
Origin
Location
X-Forwarded-For
Cookie
X-Requested-With
X-Forwarded-Host
Accept

IOC

La lista de IOC se está ampliando según avanzan las investigaciones. Les sugerimos varios enlaces para actualizar listados de IPs que realizan escaneos activos e intentos de explotación de la vulnerabilidad:

Referencias:

Atentamente,

Equipo CCN-CERT

¿Qué es el pharming? Como prevenirlo.

Si usas Firefox o Thunderbird actualizalos. Nivel de peligrosidad crítico.

ALERTA: Vulnerabilidad en Apache Log4j 2

Consejos Redes Sociales y otros.

Como configurar correctamente tu navegador y algo más

¿Estás siendo acusado de delitos a través de un correo? Confírmalo, hay una campaña de fraude activa.

Múltiples campañas de phishing que intentan obtener las credenciales de tu gestor de correo electrónico. ¡Mantente alerta!

¡Atención! Se han detectado varias campañas de smishing que suplantan a entidades bancarias.

Adiós internet explorer. Dejará de ser seguro.