Un defecto muy grave en apache log4j, llamado Log4Shell, ahora se ha convertido en la vulnerabilidad de seguridad de más alto perfil en Internet en este momento con un puntuación de gravedad de 10/10. Log4j es una biblioteca Java de código abierto para registrar mensajes de error en aplicaciones, que es ampliamente utilizada por innumerables empresas de tecnología.
De ahora en adelante, los servicios de las principales empresas de tecnología están sufriendo lo que los expertos en seguridad llaman una de las fallas más críticas de la historia reciente. Esta falla puede permitir que los piratas informáticos accedan sin restricciones a los sistemas informáticos.
Según el informe reciente de Microsoft, al menos una docena de grupos de atacantes ya están tratando de explotar la falla para robar las credenciales del sistema, instalar criptomineros en sistemas propensos, robar datos y profundizar en las redes comprometidas.
La falla es tan grave que la agencia de ciberseguridad del gobierno de EE. UU. ha emitido una advertencia urgente a todas las empresas vulnerables y ha sugerido que tomen medidas efectivas de inmediato. Descubra todo sobre esta «vulnerabilidad de día cero: Log4j» en detalle y cómo puede mantenerse a salvo de ella.
Actualizar: Segunda vulnerabilidad de Log4j descubierta; Parche lanzado
El martes, se descubrió una segunda vulnerabilidad relacionada con Apache Log4j. Esto ocurre después de que los expertos en seguridad cibernética hayan pasado días para parchear o mitigar el primero. El nombre oficial de esta vulnerabilidad es CVE 2021-45046.
La descripción indica que “la solución para abordar CVE-2021-44228 en Apache Log4j 2.15.0 estaba incompleta en ciertas configuraciones no predeterminadas. Esto podría permitir a los atacantes… crear datos de entrada maliciosos utilizando un patrón de búsqueda JNDI que resultaría en un ataque de denegación de servicio (DOS)”
Lo bueno es que Apache ya lanzó un parche, Log4j 2.16.0, para abordar y solucionar este problema. El parche más reciente soluciona el problema eliminando la compatibilidad con los patrones de búsqueda de mensajes y deshabilitando la funcionalidad JNDI de forma predeterminada.
¿Qué es la vulnerabilidad de Log4j?
La vulnerabilidad Log4j, también llamada Log4Shell, es un problema con la biblioteca Java Logj4 que permite a los explotadores controlar y ejecutar «código arbitrario» y obtener acceso a un sistema informático. El nombre oficial de esta vulnerabilidad es CVE-2021-44228.
Log4j es una biblioteca Java de código abierto, creada por Apache, que se encarga de mantener un registro de todas las actividades en una aplicación. Los desarrolladores de software lo utilizan ampliamente para sus aplicaciones. Por lo tanto, incluso las empresas tecnológicas más grandes como Microsoft, Twitter y Apple son propensas a sufrir ataques en este momento.
¿Cómo se descubrió o encontró la vulnerabilidad de Log4j?
La vulnerabilidad Log4Shell (Log4j) fue descubierta por primera vez por investigadores de LunaSec en Minecraft, propiedad de Microsoft. Más tarde, los investigadores se dieron cuenta de que no se trata de un problema técnico de Minecraft y LunaSec advirtió que «muchos, muchos servicios» son vulnerables a este exploit debido a la presencia «ubicua» de Log4j.
Desde entonces, han llegado muchos informes que lo califican como uno de los defectos más graves de los últimos tiempos, y un defecto que afectará a Internet en los años venideros.
¿Qué puede hacer la vulnerabilidad Log4j?
La vulnerabilidad Log4j puede otorgar acceso completo al sistema a piratas informáticos/atacantes/explotadores. Simplemente tienen que ejecutar un código arbitrario para obtener acceso sin restricciones. Esta falla también puede permitirles adquirir el control completo del servidor cuando manipulan el sistema correctamente.
La definición técnica de la falla en la biblioteca CVE (vulnerabilidades y exposiciones comunes) establece que «un atacante que puede controlar los mensajes de registro o los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada».
Por lo tanto, Internet está en alerta máxima ya que los explotadores intentan continuamente apuntar a sistemas débiles.
¿Qué dispositivos y aplicaciones están en riesgo de vulnerabilidad Log4j?
La vulnerabilidad de Log4j es grave para cualquier desviado que ejecute las versiones 2.0 a 2.14.1 de Apache Log4J y tenga acceso a Internet. Según NCSC, los marcos Apache Struts2, Solr, Druid, Flink y Swift incluyen las versiones de afecto (Log4j versión 2 o Log4j2).
Esto pone una gran cantidad de servicios, incluidos los de los gigantes tecnológicos como iCloud de Apple, Minecraft de Microsoft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, LinkedIn, etc.
¿Por qué esta vulnerabilidad es tan grave y tratarla es críticamente difícil?
Esta vulnerabilidad es tan grave que los piratas informáticos intentan más de 100 veces por minuto explotar los sistemas gravemente débiles que utilizan Apache Log4j2. Esto pone a millones de empresas en peligro de robo cibernético.
Según los informes, solo en India, esta falla ha puesto al 41% de las empresas en riesgo de piratería. Check Point Research ha dicho que ha detectado más de 846.000 ataques que explotan la falla.
Kryptos Logic, que es una empresa de seguridad, ha anunciado que “ha descubierto más de 10,000 direcciones IP diferentes escaneando Internet, y es 100 veces la cantidad de sistemas que buscan LogShell.”
Esta vulnerabilidad es tan masiva debido al hecho de que Apache es el servidor web más utilizado y Log4j es el paquete de registro de Java más popular. Tiene más de 400.000 descargas solo desde su repositorio de GitHub.
¿Cómo mantenerse a salvo de la vulnerabilidad de Log4j?
Según los últimos usuarios, Apache está reparando los problemas para todos en Log4j 2.15.0 y superior, ya que están deshabilitando el comportamiento de forma predeterminada. Los expertos están continuamente tratando de sopesar cómo minimizar el riesgo de esta amenaza y salvaguardar los sistemas. Microsoft y Cisco también han publicado avisos sobre la falla.
LunaSec ha mencionado que “Minecraft ya ha declarado que los usuarios pueden actualizar el juego para evitar problemas. Otros proyectos de código abierto como Paper también están emitiendo parches para solucionar el problema..”
Cisco y VMware también lanzaron parches para sus productos afectados. La mayoría de las grandes empresas de tecnología ya han abordado el problema públicamente y han ofrecido medidas de seguridad para sus usuarios y empleados. Solo necesitan seguirlos estrictamente.
¿Qué dicen los expertos sobre la vulnerabilidad de Log4j?
La vulnerabilidad de Log4j ha dejado a los administradores de sistemas y profesionales de seguridad embaucados durante el fin de semana. Cisco y Cloudflare informaron que los piratas informáticos han estado explotando este error desde principios de este mes. Sin embargo, los números aumentaron drásticamente después de la divulgación de Apache el jueves.
Por lo general, las empresas se ocupan de tales fallas en privado. Sin embargo, el alcance del impacto de esta vulnerabilidad fue tan amplio que las empresas tuvieron que abordarlo públicamente. Incluso el ala de seguridad cibernética del gobierno de los EE. UU. emitió una seria advertencia.
Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., dijo que “La vulnerabilidad ya está siendo utilizada por un «conjunto creciente de actores de amenazas», esta falla es una de las más graves que he visto en toda mi carrera, si no la más grave.”
Chris Frohoff, un investigador de seguridad independiente dice que “Lo que es casi seguro es que durante años la gente descubrirá la larga lista de nuevos software vulnerables a medida que piensen en nuevos lugares para colocar cadenas de explotación. Esto probablemente aparecerá en evaluaciones y pruebas de penetración de aplicaciones empresariales personalizadas durante mucho tiempo.”
Los expertos creen que si bien es importante ser consciente del impacto duradero inminente de la vulnerabilidad, la primera prioridad debe ser tomar todas las medidas posibles ahora para reducir el daño.
Como los atacantes ahora buscarán formas más creativas de descubrir y explotar tantos sistemas como puedan, ¡esta falla aterradora continuará causando destrucción en Internet en los años venideros!