La vulnerabilidad en el omnipresente registrador de Java log4j 2, conocida como Log4Shell, ya está siendo calificada como uno de los peores incidentes de ciberseguridad del año.
Según Trend Micro, el fallo ha sido calificado con un 10 de 10 en el sistema de puntuación CVSS estándar de la industria. En un comunicado, la empresa de seguridad informática comparte las siguientes observaciones:
- Log4j es utilizado por millones de aplicaciones Java, desde apps corporativas poco conocidas hasta software y organizaciones como iCloud, Cloudflare, Minecraft, Red Hat, Twitter, IBM, Steam, Tesla y Cisco
- Es relativamente fácil explotar el fallo subyacente de “validación de entrada inadecuada”. Requiere que un atacante obligue a una aplicación vulnerable a registrar una cadena de caracteres determinada. Como las aplicaciones registran muchos tipos de eventos, hay varias formas de hacerlo. Podría ser tan simple como escribir un mensaje en un cuadro de chat.
- La explotación puede llevar a la ejecución remota de código en un servidor afectado, permitiendo a los atacantes descargar malware y avanzar en los ataques
Los atacantes buscan activamente sistemas vulnerables para explotarlos
El fallo fue inicialmente descubierto en la versión Java de Minecraft. Otras fuentes de la industria de la ciberseguridad coinciden en que la mensajería de chat para juegos, que afectaban a los servidores de gaming, podía habilitar la ejecución de código en una gama más amplia de servicios en línea.
Log4j 2 es una biblioteca Java online de gran popularidad, utilizada por casi todos los servicios y productos en línea con los que la gente está familiarizada. Su función es registrar la información que ayuda a que las aplicaciones se ejecuten sin problemas, determinar lo que está sucediendo y ayudar en el proceso de depuración cuando se producen errores.
¿A quién afecta Log4Shell?
Se cree que la mayoría de las aplicaciones escritas en Java están afectadas y son vulnerables, especialmente los frameworks de Apache, como Apache Struts2, Apache Solr, Apache Druid y Apache Flink. Además, ElasticSearch, Flume, Logstash, Kafka, Netty, MyBatis y Spring-Boot-starter-log4j también son vulnerables.
Algunos de los productos y servicios más populares de Internet, como Apple iCloud, Amazon, Steam y Twitter, dependen de estos marcos para funcionar. También se cree que esto incluye un número significativo de aplicaciones empresariales y de ciberseguridad.
No todos los productos que utilizan log4j 2 son vulnerables; la empresa de ciberseguridad Radware dijo que sólo el software que permite y utiliza la sustitución de búsqueda de mensajes de log4j está afectado. A partir de la versión 2.15.0, la sustitución de búsqueda de mensajes está desactivada por defecto, por lo que es necesario aplicar un parche. Las versiones 2.0-beta9 a 2.14.1 de Log4j 2 son todas vulnerables y explotables. Radware también dijo que las redes de bots DDoS basadas en Mirai se están desplegando activamente, añadiendo que el malware de bloqueo y minería de criptomonedas puede ser fácilmente entregado. Informes más amplios ya han señalado evidencias de malware de minería de criptomonedas que circula a través de la vulnerabilidad.
Además de registrar datos básicos dentro de una aplicación, la vulnerabilidad log4j 2 aprovecha la inyección de Java Naming and Directory Interface (JNDI). En ciertos casos, los datos registrados se originan en la entrada del usuario – que también puede ser suministrada por un atacante – y si esta entrada contiene caracteres especiales, y se registra usando log4j 2, el método Java ‘lookup’ será llamado para ejecutar la clase Java remota definida por el usuario en el servidor LDAP. Según la Unidad 42 de Palo Alto Networks, esto conducirá al RCE en el servidor víctima que utiliza la instancia vulnerable de log4j 2.
Por el momento, no se conocen explotaciones importantes de la vulnerabilidad. Sin embargo, Microsoft informó de que la mayoría de los ataques han estado relacionados con el escaneo masivo: atacantes que intentan identificar sistemas vulnerables, empresas de seguridad e investigadores.
Se aconseja a las empresas que evalúen hasta qué punto sus entornos están expuestos a Log4Shell y parcheen las instancias de Log4j 2 en consecuencia. Las versiones 2.0-beta9 a 2.14.1 de Log4j2 están afectadas y la recomendación general es, como con cualquier vulnerabilidad, parchear las instancias afectadas hasta la última versión disponible, que es log4j 2 2.15.0.
Recomendamos este hilo de Reddit, moderado por NCC Group, que los usuarios pueden seguir y que es actualizado regularmente por la comunidad con enlaces a consejos de terceros, pruebas de explotación, análisis, honeypots, y más.