La vulnerabilidad Log4shell en Log4j se encuentra definitivamente entre las cinco vulnerabilidades más graves de la última década, una que permite la ejecución remota de código (RCE). Se compara con el EternalBlue utilizado por WannaCry o la vulnerabilidad ShellShock Bash. Lo que lo hace tan serio es lo sencillo que es explotarlo de forma remota, así como la gran cantidad de aplicaciones que lo utilizan. Además, también lleva más tiempo parchear, ya que no es solo un software vulnerable que se puede actualizar, sino una biblioteca que se incluye en muchas aplicaciones, lo que resulta en muchas actualizaciones diferentes que deben instalarse.

La lista de aplicaciones afectadas sigue creciendo a medida que las empresas completan su análisis; las aplicaciones afectadas ya incluyen Steam, Minecraft, Blender, LinkedIn, VMware y muchas más. El impacto puede variar desde la interrupción del servicio hasta la ejecución de malware, robando por completo todos los datos del cliente. Estos ataques podrían provocar un aumento en las filtraciones de datos y la incorporación de nuevos ordenadores a las redes de bots para futuros ataques.

Actualmente, muchas organizaciones están haciendo horas extra, identificando si alguno de sus programas usados ​​está expuesto a la vulnerabilidad log4shell. Con software como VMWare, WebEx y PulseSecure VPN que se ven afectados, puede resultar en tiempo de inactividad e interrupciones mientras se realizan las mitigaciones. Como la vulnerabilidad ya se ha explotado durante días, los equipos de seguridad deben analizar si se vieron comprometidos y si los atacantes han instalado alguna puerta trasera. Los ataques han variado desde molestias, como mineros de criptomonedas, hasta puertas traseras y ransomware, que pueden comprometer a toda la organización.

Qué es Log4j

Log4j es una biblioteca de Apache Java que a menudo se agrega a otras aplicaciones para manejar el registro de datos, por ejemplo, a archivos de texto. Es muy popular, ya que es fácil de usar, por lo que miles de aplicaciones lo utilizan. La vulnerabilidad log4shell (CVE-2021-44228) funciona porque la aplicación permite cargar valores dinámicos a través de JNDI (Java Naming and Directory Interface). Estos datos no se validan correctamente y pueden permitir que el atacante en remoto envíe comandos arbitrarios, que luego se ejecutarán en el sistema. En el peor de los casos, esto puede instalar una puerta trasera, que le otorgará al atacante acceso completo al sistema.

About Author

Avatar

Vicepresidente de Ciberprotección de Acronis

Deja un comentario