Log4Shell, la vulnerabilidad de diseño de proporciones catastróficas

Hace ya unos días publicábamos la alerta crítica de Apache Log4j, ahora te contamos mejor el porqué de su magnitud.

El problema reside en Log4j, una librería Java que se usa masivamente en sistemas empresariales y aplicaciones web. El problema ha afectado ya a servidores de Minecraft que se hackearon con un sencillo mensaje en el chat de la partida, pero la amenaza es enorme para todo tipo de plataformas. Afortunadamente existe parche, así que los administradores de sistemas deberían corregir el problema cuanto antes.

Un problemón contra el que los usuarios finales pueden hacer bien poco (pero sí los administradores de sistemas)

Log4j es un entorno de trabajo para registro de actividad en Apache y que permite monitorizar la actividad en una aplicación. El CEO de Cloudflare, Matthew Prince, avisó hace unos días de que el problema era tan gordo que su empresa trataría de desplegar ciertos mecanismos para mitigarlo incluso para clientes de su servicio gratuito.

Todo lo que tenía que hacer un atacante para explotar el problema es enviar un pedazo de código malicioso: ese código acabará siendo registrado por Log4j si está en su versión 2.0 o superior, y al hacerlo dará acceso al atacante al sistema, que podrá ejecutar código de forma remotamente.

Free Wortley, CEO de la plataforma de seguridad LunaSec, explicaba que esta vulnerabilidad es «un fallo de diseño de proporciones catastróficas» en la librería, y el problema se explotó por ejemplo en los servidores de Minecraft.

Varias agencias nacionales de ciberseguridad publicaron alertas sobre el tema, y los expertos avisaban de lo fácil que era exponer especialmente a grandes empresas que usan esa librería de forma habitual. La propia Apache Software Foundation calificó la vulnerabilidad —corregida en Log4j 2.15.0— con un índice de peligrosidad de 10 sobre 10.

La vulnerabilidad es peculiar por muchas cosas pero también por una muy llamativa: esta librería, crítica para muchas plataformas, está siendo mantenida por solo tres desarrolladores… en su tiempo libre.

Esos tres desarrolladores lograron atajar el problema y ya han publicado los parches que permiten a cualquiera administrador de sistema actualizar ese componente de sus sistemas para evitar que el problema pueda afectar a sus servicios.

Los usuarios finales poco pueden hacer salvo que tengan servidores en los que tengan instalados servicios y aplicaciones que puedan usar ese componente. En ese caso, como los administradores de grandes plataformas y servicios, la clave está en actualizar los sistemas para que ese componente se corrija con el parche publicado por esos tres desarrolladores.

Fuente: Wired
Más información: CCN-CERT

Comparte este contenido:

Deja un comentario

Alertas de seguridad

Mantente informado, recíbelas a tu email