Log4Shell, la vulnerabilitat de disseny de proporcions catastròfiques

Fa uns dies publicàvem l'alerta crítica de Apache Log4j, ara t'expliquem millor el perquè de la seva magnitud.

El problema resideix a Log4j, una llibreria Java que es fa servir massivament en sistemes empresarials i aplicacions web. El problema ja ha afectat servidors de Minecraft que es van piratejar amb un senzill missatge al xat de la partida, però la amenaça és enorme per a tot tipus de plataformes. Afortunadament hi ha pegat, així que els administradors de sistemes haurien de corregir el problema com més aviat millor.

Un problema contra el qual els usuaris finals poden fer ben poc (però sí els administradors de sistemes)

Log4j és un entorn de treball per a registrar activitat a Apache i que permet monitoritzar l'activitat en una aplicació. El CEO de Cloudflare, Matthew Prince, va avisar fa uns dies que el problema era tan gros que la seva empresa tractaria de desplegar certs mecanismes per mitigar-lo fins i tot per a clients del servei gratuït.

Tot el que havia de fer un atacant per explotar el problema és enviar un tros de codi maliciós: aquest codi acabarà sent registrat per Log4j si està a la seva versió 2.0 o superior, i en fer-ho donarà accés a l'atacant al sistema, que podrà executar codi de manera remotament.

Free Wortley, CEO de la plataforma de seguretat LunaSec, explicava que aquesta vulnerabilitat és «una fallada de disseny de proporcions catastròfiques» a la llibreria, i el problema es va explotar per exemple als servidors de Minecraft.

Varias agencias nacionales de ciberseguridad publicaron alertas sobre el tema, y los expertos avisaban de lo fácil que era exponer especialmente a grandes empresas que usan esa librería de forma habitual. La propia Apache Software Foundation calificó la vulnerabilidad —corregida a Log4j 2.15.0— amb un índex de perillositat de 10 sobre 10.

La vulnerabilidad es peculiar por muchas cosas però també per una cridanera: aquesta llibreria, crítica per a moltes plataformes, està sent mantinguda per només tres desenvolupadors… en el seu temps lliure.

Aquests tres desenvolupadors van aconseguir aturar el problema i ja han publicat els pegats que permeten a qualsevol administrador de sistema actualitzar aquest component dels seus sistemes per evitar que el problema pugui afectar els vostres serveis.

Els usuaris finals poc poden fer llevat que tinguin servidors on tinguin instal·lats serveis i aplicacions que puguin utilitzar aquest component. En aquest cas, com els administradors de grans plataformes i serveis, la clau és actualitzar els sistemes perquè aquest component es corregeixi amb el pegat publicat per aquests tres desenvolupadors.

Font: Wired
Més informació: CCN-CERT

Comparteix aquest contingut:

Deixa un comentari

Alertes de seguretat

Estigues informat, rep-les al teu email