La vulnerabilidad se anunció repentinamente como una vulnerabilidad de "día cero", lo que sorprendió a la industria. La vulnerabilidad, denominada "Log4Shell", recibió una calificación de 10 en una escala del 10 al XNUMX, la peor posible. Cualquiera que tenga el exploit puede obtener acceso completo a una máquina sin parchear.
La falla del software Log4j reportada por investigadores de ciberseguridad podría permitir a los atacantes tener acceso sin control a los sistemas informáticos, e incluso la agencia de ciberseguridad del gobierno de EE. UU. ha emitido una advertencia al respecto.
LunaSec señala que simplemente cambiar el nombre de un iPhone estaba desencadenando la vulnerabilidad en los servidores de Apple.
¿Qué es la vulnerabilidad Log4j?
La vulnerabilidad en el módulo Apache Software Foundation fue descubierta el 24 de noviembre por el gigante tecnológico chino Alibaba, dijo la fundación.
La vulnerabilidad, bautizada “Log4Shell” por los investigadores de LunaSec y atribuida a Chen Zhaojun de Alibaba, se ha encontrado en Apache Log4j, una utilidad de registro de código abierto que se utiliza en una gran cantidad de aplicaciones, sitios web y servicios.
Log4Shell también se descubrió en Minecraft, propiedad de Microsoft, aunque LunaSec advierte que muchos servicios son vulnerables a este exploit debido a la omnipresencia de Log4j en casi todas las principales aplicaciones y servidores empresariales basados en Java. La empresa de ciberseguridad advirtió en una entrada de blog que cualquiera que use Apache Struts es probablemente vulnerable.
La biblioteca Log4j de Java se utiliza para registrar toda la actividad de una aplicación y, por lo tanto, es muy utilizada por desarrolladores de software de todo el mundo. Esta vulnerabilidad puede permitir a un atacante controlar y ejecutar código arbitrario y acceder a un sistema informático. Si se explota correctamente, puede permitir a un hacker obtener el control total de un servidor.
La definición técnica en la biblioteca CVE establece: Un atacante que puede controlar los mensajes de registro o los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada.
Lo preocupante aquí es que el exploit probablemente haya sido utilizado por piratas informáticos para obtener acceso a ciertos sistemas informáticos, y ahora que el exploit está al descubierto, las empresas tendrán que parchearlo pronto.
¿Quiénes se ven afectados por Log4j?
En Github, las empresas afectadas figuran como Apple, Tencent, Steam, Twitter, Baidu, DIDI, JD, NetEase, CloudFlare, Amazon, Tesla, Google, Webex, LinkedIn, etc.
La Apache Software Foundation ha lanzado una actualización de seguridad de emergencia para corregir la vulnerabilidad de día cero en Log4j, junto con medidas de mitigación para aquellos que no puedan actualizar de inmediato.
Minecraft de Microsoft ya ha emitido un comunicado sobre cómo los usuarios pueden actualizar el juego para evitar el problema, según la firma de ciberseguridad LunaSec. Otros proyectos de código abierto como Paper también están lanzando parches para solucionar el problema, añade el blog.
El Equipo de Respuesta a Emergencias Informáticas (CERT) de Nueva Zelanda, el CERT de Deutsche Telekom y el servicio de monitoreo web Greynoise han advertido que los atacantes buscan activamente servidores vulnerables a ataques Log4Shell. Según este último, alrededor de 100 hosts distintos están rastreando internet en busca de maneras de explotar la vulnerabilidad Log4j.
Lo que dicen las principales empresas tecnológicas
Microsoft
En una publicación de blog, el Centro de Respuesta de Seguridad de Microsoft escribió que sus equipos de seguridad “han estado realizando una investigación activa de nuestros productos y servicios para comprender dónde se puede usar Apache Log4j”, y agregó que si la compañía identifica algún impacto en los clientes, se lo notificará de inmediato.
En su aviso de seguridad, Google Cloud señala que está siguiendo de cerca la vulnerabilidad. «Actualmente estamos evaluando el posible impacto de la vulnerabilidad en los productos y servicios de Google Cloud. Este es un evento continuo y seguiremos proporcionando actualizaciones a través de nuestros canales de comunicación con los clientes».
La compañía, al igual que otras, ha recomendado a todos sus usuarios que gestionan entornos que contienen Log4j que actualicen a la última versión.
Amazon
“Estamos monitoreando activamente este problema y trabajando para solucionarlo en cualquier servicio de AWS que use Log4j2 o lo proporcione a los clientes como parte de su servicio”, decía un aviso publicado por Amazon.
Mientras tanto, Amazon cree que actualizar Log4j2 en los JDK no solucionará el problema. La compañía afirmó que la única solución integral es actualizar Log4j2 a la versión 2.15, y que cualquier versión anterior a esta debería considerarse comprometida.
