Cómo saber si está afectado y cómo remediarlo
Acaba de descubrirse un fallo grave en la ampliamente utilizada biblioteca de registro de Java Apache Log4j. La vulnerabilidad, ‘Log4Shell’, ha sido identificada por primera vez por usuarios de un popular foro de Minecraft y aparentemente fue comunicada a la Fundación Apache por investigadores de seguridad de Alibaba Cloud el 24 de noviembre de 2021. La vulnerabilidad tiene el potencial de permitir la ejecución remota de código no autenticado (RCE ) en casi cualquier máquina que utilice Log4j. (La ejecución remota de código es un ciberataque mediante el cual un atacante puede ejecutar comandos de forma remota en el dispositivo informático de otra persona). El uso de Log4j se remonta a 2001 y, en la actualidad, la herramienta de código abierto es una parte integral de los marcos populares, incluido Apache. Struts2, Apache Solr, Apache Druid y Apache Flink.
Qué está haciendo SecurityScorecard
SecurityScorecard ha actualizado inmediatamente todas las instalaciones de Log4j presentes en nuestro entorno, y animamos a nuestros partners y clientes a hacer lo mismo. La actividad de RCE no autenticada tiene el potencial de ser increíblemente peligrosa y las organizaciones no pueden permitirse correr un riesgo tan significativo. Cuanto antes se determine su vulnerabilidad a este error y se tomen las medidas necesarias para mitigarlo, más seguro será Internet.
Qué es Log4j y Log4Shell
Millones de aplicaciones usan Log4j para el registro, y el paquete está integrado en una gran variedad de proyectos y herramientas de código abierto. En la mayoría de los casos, una biblioteca de registro tiene una sola función: pasar a través de la cadena de eventos de registro y registrarla en algún lugar según las configuraciones en el archivo de configuración. Log4j analiza el contenido de cada cadena de eventos para comprobar si contiene alguna variable que deba resolverse o transformarse.
Esto presenta una oportunidad para los atacantes. Una cadena de eventos mal formada puede aprovechar la configuración de seguridad predeterminada para permitir la ejecución remota de código. Es difícil exagerar la importancia de esta vulnerabilidad. Los ciberdelincuentes pueden aprovechar las vulnerabilidades de RCE para obtener acceso no autorizado a sistemas y aplicaciones, incluidos teléfonos, tabletas, estaciones de trabajo, televisores inteligentes, termostatos y otros dispositivos. Debido a que Log4j es tan ubicuo, el descubrimiento de una vulnerabilidad RCE dentro de él es una situación legítima de “alerta roja” para la comunidad de ciberseguridad. Log4Shell tiene el potencial de ser el exploit más peligroso e impactante desde que se descubrió la vulnerabilidad Shellshock en 2014.
¿Su organización se ha visto afectada?
Cualquier organización con activos que ejecuten una versión de Log4j por encima de la versión 2.0 y por debajo de la versión 2.15.0 (la versión fija) probablemente se vea afectada por la vulnerabilidad. La mayoría de las organizaciones pueden comprobar los resultados de análisis de vulnerabilidades más recientes, que probablemente contengan la ubicación de cualquier instalación de Log4j activa en el entorno. También es posible consultar los registros de aplicaciones en la nube en busca de cadenas que coincidan con la sintaxis “jndi.ldap”. Esto identificará cualquier instancia de escaneo o intentos de explotación activos, pero es importante tener en cuenta que un sistema solo está potencialmente comprometido si la solicitud fue procesada por una versión vulnerable de Log4j. De lo contrario, la actividad no debe considerarse sospechosa.
Qué hacer si se es vulnerable
Cualquier organización que utilice Log4j debería actualizar a la versión 2.15.0 lo antes posible. Esta última versión se puede encontrar en la página de descarga de Log4j. Para ser instalada, esta versión parcheada requiere un mínimo de Java 8. También es importante verificar que no haya varias instalaciones de Log4j en una máquina afectada, ya que esto puede significar que existen varios archivos de configuración. Cada uno de estos puede contener una versión vulnerable de Log4j, y cada uno deberá corregirse de forma independiente.
Proceder con precaución
Aunque la vulnerabilidad Log4Shell se acaba de descubrir, ya se han detectado ejemplos de atacantes que escanean el exploit. Las organizaciones deben continuar revisando sus registros en busca de actividades y análisis sospechosos; sin embargo, como ya hemos indicado, la cadena de explotación será registrada por la plataforma de SecurityScorecard, ya se esté ejecutando una versión vulnerable de Log4j o no. Asegurarse de que todas las instalaciones de Log4j se actualicen a la versión más reciente y parcheada sigue siendo el paso más crítico para proteger las aplicaciones y los servicios de una organización.
Para verificar su estado en busca de miles de otras vulnerabilidades en un instante, regístrese para obtener su cuenta gratuita.
No Comments