ClickCease La botnet FritzFrog contraataca aprovechando una vulnerabilidad de Log4Shell

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

La botnet FritzFrog contraataca aprovechando una vulnerabilidad de Log4Shell

Rohan Timalsina

13 de febrero de 2024 - Equipo de expertos TuxCare

Ha aparecido una nueva variante de la sofisticada red de bots "FritzFrog", que aprovecha la vulnerabilidad Log4Shell para propagarse. A pesar de que han transcurrido más de dos años desde que se descubrió el fallo Log4j, los atacantes siguen explotándolo con eficacia debido a que muchas organizaciones descuidan parchear sus sistemas. En particular, la red de bots parece dirigirse a secciones aparentemente seguras de redes internas en las que pueden faltar parches.

 

Entendiendo la botnet FritzFrog

 

Identificado inicialmente por Guardicore (ahora parte de Akamai) en agosto de 2020, FritzFrog opera como una botnet peer-to-peer (P2P), dirigida principalmente a servidores orientados a Internet con credenciales SSH débiles. La vulnerabilidad Log4Shell (CVE-2021-44228), que obtuvo una amplia atención debido a su naturaleza crítica, ahora está siendo explotada por FritzFrog como un vector de infección secundario. A diferencia de sus estrategias anteriores, que se centraban en los servidores orientados a Internet, esta variante apunta a los hosts internos de las redes comprometidas. Este cambio subraya la importancia de las prácticas exhaustivas de gestión de parches, ya que incluso los sistemas internos aparentemente menos vulnerables pueden convertirse en objetivos principales de explotación.

Una de las mejoras destacables de esta variante es que identifica objetivos potenciales con vulnerabilidades dentro de la red mediante el análisis de los registros del sistema en los hosts comprometidos. Esto implica que, a pesar de parchear las aplicaciones orientadas a Internet, cualquier violación de otros endpoints puede dejar vulnerables a la explotación los sistemas internos sin parchear, facilitando la propagación del malware. Además, el malware aprovecha ahora la vulnerabilidad PwnKit (CVE-2021-4034) para la escalada local de privilegios, lo que aumenta aún más su persistencia y alcance.

Además, la red de bots FritzFrog emplea tácticas de evasión para eludir la detección, incluida la minimización de su huella evitando la descarga de archivos al disco siempre que sea posible. Al utilizar ubicaciones de memoria compartida y ejecutar cargas útiles residentes en memoria, mantiene una presencia sigilosa que plantea retos para los esfuerzos de detección y mitigación.

 

Conclusión

 

Akamai, empresa líder en infraestructura y seguridad web, ha bautizado esta última actividad como Frog4Shell, destacando la convergencia de las capacidades de FritzFrog con el exploit Log4Shell. Al explotar máquinas internas sin parches, FritzFrog aprovecha la tendencia a priorizar el parcheado de los servidores orientados a Internet, dejando los sistemas internos potencialmente expuestos y vulnerables.

A medida que la red de bots FritzFrog sigue evolucionando, las organizaciones de diversos sectores, como la sanidad, la educación y la administración pública, deben permanecer vigilantes y priorizar las medidas de ciberseguridad para frustrar eficazmente las amenazas emergentes.

 

Las fuentes de este artículo incluyen una historia de TheHackerNews.

Resumen
La botnet FritzFrog contraataca aprovechando una vulnerabilidad de Log4Shell
Nombre del artículo
La botnet FritzFrog contraataca aprovechando una vulnerabilidad de Log4Shell
Descripción
Manténgase informado sobre la última variante de la red de bots FritzFrog que aprovecha Log4Shell. Conozca las nuevas tácticas de esta amenaza en evolución.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín