Vulnerabilidad de Log4j tiene a internet en alerta

Log4j es una biblioteca open source desarrollada en Java por la Apache Software Foundation que permite a los desarrolladores de software escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución.

Log4j permite filtrar los mensajes en función de su importancia. La configuración de salida y granularidad de los mensajes es realizada en tiempo de ejecución mediante el uso de archivos de configuración externos. Log4J ha sido implementado en otros lenguajes como: C, C++, C#, Perl, Python, Ruby y Eiffel.

Vulnerabilidad en Log4j

Una vulnerabilidad en el marco de registro de Log4j tiene a los equipos de seguridad luchando para solucionarlo.

El problema radica en Log4j, un marco de trabajo de registro Apache de código abierto omnipresente que los desarrolladores utilizan para mantener un registro de la actividad dentro de una aplicación. El personal de seguridad está luchando para corregir el error, que puede explotarse fácilmente para tomar el control de los sistemas vulnerables de forma remota. Al mismo tiempo, los piratas informáticos están escaneando activamente Internet en busca de sistemas afectados. Algunos ya han desarrollado herramientas que intentan automáticamente explotar el error, así como gusanos que pueden propagarse de forma independiente de un sistema vulnerable a otro en las condiciones adecuadas.

Log4j es una biblioteca de Java y, si bien el lenguaje de programación es menos popular entre los consumidores en estos días, todavía se usa de manera muy amplia en sistemas empresariales y aplicaciones web. Los investigadores le dijeron a WIRED el viernes que esperan que muchos de los servicios principales se vean afectados. 

Por ejemplo, Minecraft, propiedad de Microsoft, publicó el viernes instrucciones detalladas sobre cómo los jugadores de la versión de Java del juego deben parchear sus sistemas. «Este exploit afecta a muchos servicios, incluido Minecraft Java Edition», se lee en la publicación. «Esta vulnerabilidad presenta un riesgo potencial de que su computadora se vea comprometida». El director ejecutivo de Cloudflare, Matthew Prince, tuiteó el viernes que el problema era «tan grave» que la empresa de infraestructura de Internet intentaría implementar al menos algo de protección incluso para los clientes de su nivel de servicio gratuito. 

Es una falla de diseño de proporciones catastróficas

Todo lo que un atacante tiene que hacer para aprovechar la falla es enviar estratégicamente una cadena de código malicioso que eventualmente se registra en Log4j versión 2.0 o superior. El exploit permite que un atacante cargue código Java arbitrario en un servidor, lo que le permite tomar el control.

“Es una falla de diseño de proporciones catastróficas”, dice Free Wortley, CEO de la plataforma de seguridad de datos de código abierto LunaSec. Los investigadores de la compañía publicaron una advertencia y una evaluación inicial de la vulnerabilidad Log4j el jueves. 

Las capturas de pantalla de Minecraft que circulan en los foros parecen mostrar a los jugadores explotando la vulnerabilidad de la función de chat de Minecraft . El viernes, algunos usuarios de Twitter comenzaron a cambiar sus nombres para mostrar por cadenas de código que podrían desencadenar el exploit. Otro usuario cambió el nombre de su iPhone para hacer lo mismo y envió el hallazgo a Apple. Los investigadores le dijeron a WIRED que el enfoque también podría funcionar utilizando el correo electrónico.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos emitió una alerta sobre la vulnerabilidad el viernes, al igual que el CERT de Australia. La alerta de la organización de ciberseguridad del gobierno de Nueva Zelanda señaló que, según los informes, la vulnerabilidad se está explotando activamente.

«Es bastante malo», dice Wortley. “Mucha gente es vulnerable y esto es muy fácil de explotar. Hay algunos factores atenuantes, pero siendo este el mundo real, habrá muchas empresas que no están en las versiones actuales que luchan por solucionar este problema «.

Apache califica la vulnerabilidad como de gravedad «crítica» y publicó parches y mitigaciones el viernes. La organización dice que Chen Zhaojun, del equipo de seguridad en la nube de Alibaba, reveló por primera vez la vulnerabilidad.

La situación subraya los desafíos de administrar el riesgo dentro del software empresarial interdependiente. Como hizo Minecraft, muchas organizaciones necesitarán desarrollar sus propios parches o no podrán hacerlo de inmediato porque están ejecutando software heredado, como versiones anteriores de Java. Además, Log4j no es algo casual de parchear en los servicios en vivo porque si algo sale mal, una organización podría comprometer sus capacidades de registro en el momento en que más las necesitan para estar atentas a un intento de explotación.

No hay mucho que los usuarios promedio puedan hacer, aparte de instalar actualizaciones para varios servicios en línea siempre que estén disponibles; la mayor parte del trabajo por hacer estará en el lado empresarial, ya que las empresas y organizaciones luchan por implementar soluciones.

“Las organizaciones maduras en seguridad comenzarán a tratar de evaluar su exposición a las pocas horas de un exploit como este, pero algunas organizaciones tomarán algunas semanas, y algunas nunca lo verán”, dijo a WIRED un ingeniero de seguridad de una importante compañía de software. La persona solicitó no ser identificada porque está trabajando en estrecha colaboración con los equipos de respuesta de infraestructura crítica para abordar la vulnerabilidad. “Internet está en llamas, esta mierda está en todas partes. Y me refiero a todas partes «.

Si bien incidentes como el hackeo de SolarWinds y sus consecuencias mostraron cuán mal pueden salir las cosas cuando los atacantes se infiltran en software de uso común, el colapso de Log4j habla más de cuán ampliamente se pueden sentir los efectos de una sola falla si se encuentra en una pieza fundamental de código que es incorporado en una gran cantidad de software.

“Problemas de biblioteca como este plantean un escenario de cadena de suministro particularmente malo para solucionar”, dice Katie Moussouris, fundadora de Luta Security e investigadora de vulnerabilidades desde hace mucho tiempo. “Todo lo que usa esa biblioteca debe probarse con la versión fija en su lugar. Habiendo coordinado las vulnerabilidades de la biblioteca en el pasado, simpatizo con las que están luchando en este momento «.

Por ahora, la prioridad es averiguar qué tan extendido está realmente el problema. Desafortunadamente, los equipos de seguridad y los piratas informáticos están trabajando horas extras para encontrar la respuesta. 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

5 × 4 =