Log4j: Cómo protegerse de esta vulnerabilidad de seguridad

A medida que los ciberdelincuentes escanean servidores susceptibles, hay pasos que puede tomar para mitigar la vulnerabilidad crítica de Log4j.

Imagen: Getty Images / iStockphoto

La vulnerabilidad de seguridad de Log4j, conocida como Log4Shell, se perfila como una de las peores fallas de seguridad del año, que podría afectar a millones de aplicaciones y señalar una diana en los sistemas sin parches que los piratas informáticos pueden comprometer y controlar. Afortunadamente, hay pasos que puede seguir para asegurarse de que sus propios sistemas estén protegidos.

VER: Política de gestión de parches (TechRepublic Premium)

Revelado la semana pasada pero informado a Apache en noviembre, Log4Shell es una vulnerabilidad de día cero en la utilidad Log4J de la compañía, que es utilizada por desarrolladores y organizaciones de todo el mundo para registrar solicitudes y mensajes de error para aplicaciones Java. Dado que Java es un lenguaje de programación tan omnipresente, la falla afecta a una gran cantidad de aplicaciones, sistemas y servidores.

Designado como CVE-2021-44228 por el Instituto Nacional de Estándares y Tecnología (NIST), el error también es fácil de explotar y requiere poca o ninguna habilidad de programación. Y aunque Apache ha lanzado una versión actualizada y parcheada de la herramienta, es posible que los usuarios afectados no puedan actualizar con la suficiente rapidez. Por esa razón, los piratas informáticos buscan con avidez sistemas sin parches que comprometan. Si tiene éxito, un atacante puede obtener el control de un servidor para instalar malware, robar información confidencial o extraer moneda digital.

«Es seguro decir que esta vulnerabilidad tendrá, y ya está teniendo, un efecto masivo en la industria», dijo Dan Piazza, gerente de producto técnico de Netwrix. «Log4j es utilizado por miles de aplicaciones, bibliotecas y marcos, lo que significa que la cantidad de organizaciones potencialmente afectadas es asombrosa. Y con los atacantes que ya escanean Internet para encontrar objetivos vulnerables, si las organizaciones aún no han comenzado a tomar medidas de mitigación, es posible que ya sea ​​demasiado tarde «.

Aún no se han anunciado oficialmente infracciones reales, según el proveedor de seguridad Cloudflare. Pero los investigadores de seguridad están viendo muchos intentos.

En una publicación de blog publicada el martes, Cloudflare dijo que sus investigadores actualmente están observando alrededor de 1,000 intentos por segundo tratando activamente de explotar la falla. La firma de seguridad Bitdefender dijo que ha observado ataques en el mundo real en máquinas equipadas con su producto de protección de endpoints. Específicamente, la firma ha descubierto varios ataques que intentan explotar el error con la intención de lanzar campañas de criptojacking una vez que se haya logrado el acceso al servidor.

Una botnet detectada por Bitdefender en el intento es Muhstik, una amenaza que aprovecha las vulnerabilidades de las aplicaciones web. El minero XMRIG también ha intentado explotar la falla de Log4Shell, que utiliza recursos informáticos para extraer moneda digital sin el conocimiento o permiso del propietario. Por supuesto, el ransomware nunca se queda atrás en un defecto como este. Una nueva familia de ransomware llamada Khonsari parece apuntar a servidores Linux, según Bitdefender.

El proveedor de seguridad Check Point Software dijo que ha descubierto más de 1,2 millones de intentos para explotar la vulnerabilidad, que se extiende a lo largo del 44% de las redes corporativas de todo el mundo. Un ataque específico visto por Check Point afectó a cinco víctimas en finanzas, banca y software en los EE. UU., Israel, Corea del Sur, Suiza y Chipre. En este, los ciberdelincuentes capaces de aprovechar la falla pueden instalar un malware troyano, que descarga un archivo ejecutable que luego instala un criptominer.

VER: Marco de ciberseguridad del NIST: una hoja de trucos para profesionales (PDF gratuito) (TechRepublic)

Recomendaciones para mitigar la vulnerabilidad Log4j

Se insta a las organizaciones afectadas por la falla de Log4Shell a actualizar Log4j a la versión 2.16.0, lanzada por Apache el 13 de diciembre. Inicialmente, la compañía implementó la versión 2.15.0 para mitigar el error, pero esa versión era defectuosa porque podía permitir que alguien ejecutar un ataque de denegación de servicio. Cualquiera que todavía use Java 7 debería actualizar a la versión Log4j 2.12.2, según Apache.

A pesar de los consejos anteriores, solo actualizar Java no es suficiente para combatir el error, dijo Piazza.

«Para las organizaciones que aún necesitan mitigar la vulnerabilidad, deben actualizar el paquete log4j y no solo deben actualizar Java», dijo Piazza. «Este fue un error temprano, que la actualización de Java podría reducir la gravedad de la vulnerabilidad, lo cual simplemente no es cierto. También es una buena idea consultar con los proveedores de software para ver si usan log4j de alguna manera y, de ser así, si ‘ ya he proporcionado parches para sus productos «.

Los terceros también se han apresurado a lanzar sus propios parches y herramientas para combatir la vulnerabilidad. Cisco, Oracle y VMware han implementado parches y correcciones. El proveedor de seguridad de código abierto WhiteSource lanzó una herramienta de desarrollo gratuita llamada WhiteSource Log4j Detect que las organizaciones pueden ejecutar para detectar y resolver las vulnerabilidades de Log4j.

«Si una organización usa log4j o software que incluye la biblioteca, entonces es más seguro asumir una infracción y revisar las aplicaciones potencialmente afectadas para detectar comportamientos extraños», dijo Piazza. «Además, si una organización siente que ya ha sido violada, debe consultar a una empresa de respuesta a incidentes y eliminar todo acceso a la red física del servidor afectado».

Sin embargo, a medida que los piratas informáticos continúan buscando sistemas vulnerables, las organizaciones deben actuar con rapidez para protegerse de esta falla que se usa contra ellos.

«Esta vulnerabilidad, debido a la complejidad de parchearla y la facilidad para explotarla, permanecerá con nosotros en los próximos años, a menos que las empresas y los servicios tomen medidas inmediatas para prevenir los ataques a sus productos mediante la implementación de una protección», dijo Lotem Finkelstein, director de inteligencia de amenazas en Check Point Software. «Ahora es el momento de actuar. Dada la temporada navideña, cuando los equipos de seguridad pueden demorar más en implementar las medidas de protección, la amenaza es inminente. Esto actúa como una pandemia cibernética: altamente contagiosa, se propaga rápidamente y tiene múltiples variantes, lo que obliga a más formas de atacar «.

Ver también

Kit de contratación: Ingeniero de ciberseguridad (TechRepublic Premium) Amenazas de seguridad en el horizonte: Lo que los profesionales de TI necesitan saber (PDF gratuito) (TechRepublic) Cómo los ciberataques aprovechan las vulnerabilidades de seguridad conocidas (TechRepublic) Los ataques de ransomware aprovechan cada vez más las vulnerabilidades de seguridad (TechRepublic)
Google, Microsoft y Oracle acumularon la mayor cantidad de vulnerabilidades de ciberseguridad en la primera mitad de 2021 (TechRepublic)
Por qué las organizaciones tardan en parchear incluso las vulnerabilidades de alto perfil (TechRepublic)
Cómo proteger sus bases de datos locales de vulnerabilidades de seguridad (TechRepublic)
Ciberseguridad y guerra cibernética: más cobertura de lectura obligada (TechRepublic en Flipboard)