La falla de seguridad crítica de Log4Shell permite a los piratas informáticos comprometer servidores vulnerables

Apache ha parcheado la vulnerabilidad en su biblioteca Log4j 2, pero los atacantes están buscando servidores desprotegidos en los que puedan ejecutar código malicioso de forma remota.

iStock / weerapatkiatdumrong

Una grave vulnerabilidad de seguridad en un producto popular de Apache ha abierto las compuertas para que los ciberdelincuentes intenten atacar servidores susceptibles. El jueves, se reveló una falla en Log4j 2 de Apache, una utilidad utilizada por millones de personas para registrar solicitudes de aplicaciones Java. Con el nombre de Log4Shell, la vulnerabilidad podría permitir a los atacantes tomar el control de los servidores afectados, una situación que ya ha llevado a los piratas informáticos a buscar sistemas sin parches en los que puedan ejecutar código malicioso de forma remota.

VER: Política de gestión de parches (TechRepublic Premium)

El problema ha provocado preocupaciones rápidamente por una serie de razones. La biblioteca Log4j se usa ampliamente en todo el mundo, por lo que una gran cantidad de aplicaciones Java y sistemas asociados están en riesgo. La falla es bastante fácil de explotar, ya que un atacante solo necesita insertar una sola línea de código Java en el registro.

CERT Nueva Zelanda y otras organizaciones han informado que la vulnerabilidad está siendo explotada en la naturaleza y que se ha publicado un código de prueba de concepto como evidencia de la debilidad de la seguridad.

El Instituto Nacional de Estándares y Tecnología (NIST) ha otorgado a esta vulnerabilidad, conocida como CVE-2021-44228, una puntuación de gravedad de 10 sobre 10. Como la puntuación más alta, esto indica la gravedad de la falla, ya que requiere poca información técnica. conocimiento para explotar y puede comprometer un sistema sin ningún conocimiento o aportación del usuario.

«El gran peligro de esto es que el paquete ‘log4j’ es tan ubicuo: se usa con software Apache como Apache Struts, Solr, Druid, junto con otras tecnologías. [such as] Redis, ElasticSearch e incluso videojuegos como Minecraft «, dijo John Hammond, investigador de seguridad senior de Huntress.» Se ha descubierto que diferentes sitios web de fabricantes y proveedores se han visto afectados: Apple, Twitter, Steam, Tesla y más. En última instancia, millones de aplicaciones utilizan log4js para el registro. Todo lo que un mal actor necesita proporcionar para desencadenar un ataque es una sola línea de texto «.

Apache ya ha parcheado el exploit Log4Shell. Se insta a cualquier persona que use la biblioteca log4j a actualizar inmediatamente a la versión Log4j 2.15.0. Sin embargo, los piratas informáticos saben que las organizaciones a menudo tardan en parchear incluso fallas de seguridad críticas, razón por la cual los atacantes buscan frenéticamente sistemas sin parchear. Otros proveedores, incluidos Oracle, Cisco y VMware, han publicado parches para proteger sus propios productos.

Para aquellos que no pueden actualizar con la suficiente rapidez, la empresa de seguridad Cybereason ha lanzado lo que llama una «vacuna» para la falla de Log4Shell, que evita que se explote el error. Disponible de forma gratuita en GitHub, la solución requiere solo habilidades básicas de Java para activarse, según la compañía. Pero, en última instancia, la instalación de la versión parcheada de Log4j sigue siendo el medio más eficaz de proteger sus sistemas.

También puede identificar si alguno de sus puntos finales y servidores remotos es susceptible a la falla en primer lugar, como se describe en una publicación de blog del proveedor de seguridad LunaSec. La empresa sugiere ejecutar una consulta de DNS para obligar a un servidor a buscar código remoto para indicarle si se activa la vulnerabilidad. Como ayuda adicional, una lista accesible en GitHub proporciona recursos adicionales y revela algunas de las muchas aplicaciones vulnerables a esta falla.

VER: Marco de ciberseguridad del NIST: una hoja de trucos para profesionales (PDF gratuito) (TechRepublic)

Incluso con el parche, esto se perfila como un problema de seguridad grave que se espera que afecte a las organizaciones y usuarios en el futuro previsible.

«Este será probablemente un problema endémico que continuará a corto plazo mientras los equipos de seguridad e infraestructura se apresuran a encontrar y parchear máquinas vulnerables durante las próximas semanas y meses», dijo Sean Nikkel, analista senior de inteligencia de amenazas cibernéticas en Digital Shadows. «Los equipos de seguridad también deben esperar ver un aumento en los escaneos de adversarios que buscan infraestructura vulnerable en Internet, así como también intentos de explotación en los próximos días».

Más allá de instalar la última versión parcheada de Log4j, hay otros pasos que las organizaciones deben tomar, tanto con esta última falla de seguridad como con las vulnerabilidades de Java en general.

«No se equivoquen, esta es la mayor vulnerabilidad de Java que hemos visto en años», dijo Arshan Dabirsiaghi, cofundador y científico jefe de Contrast Security. «Es absolutamente brutal. Hay tres preguntas principales que los equipos deben responder ahora: ¿dónde me impacta esto, cómo puedo mitigar el impacto ahora mismo para prevenir la explotación y cómo puedo localizar este y otros problemas similares para prevenir la explotación futura?»

Ver también

Kit de contratación: Ingeniero de ciberseguridad (TechRepublic Premium) Amenazas de seguridad en el horizonte: Lo que los profesionales de TI necesitan saber (PDF gratuito) (TechRepublic) Cómo los ciberataques aprovechan las vulnerabilidades de seguridad conocidas (TechRepublic) Los ataques de ransomware aprovechan cada vez más las vulnerabilidades de seguridad (TechRepublic)
Google, Microsoft y Oracle acumularon la mayor cantidad de vulnerabilidades de ciberseguridad en la primera mitad de 2021 (TechRepublic)
Por qué las organizaciones tardan en parchear incluso las vulnerabilidades de alto perfil (TechRepublic)
Cómo proteger sus bases de datos locales de vulnerabilidades de seguridad (TechRepublic)
Ciberseguridad y guerra cibernética: más cobertura de lectura obligada (TechRepublic en Flipboard)