Como indico en el título del artículo, Log4Shell es el fallo de seguridad más catastrófico hasta la fecha. Esto es lo que indican algunos expertos que ya califican esta vulnerabilidad como la peor de la historia.
Desde hace unos días, concretamente el 9 de Diciembre, programadores y expertos a nivel global, intentan reducir los efectos de esta nueva vulnerabilidad.
Esencialmente, consiste en una fallo existente en la denominada librería o biblioteca Log4j de Java. Esta es una librería de código abierto y desarrollada por Apache Foundation. Se utiliza para registrar las actividades que son realizadas mientras una aplicación Java se ejecuta. Este tipo de tecnología es utilizada por la gran mayoría de aplicaciones y servicios web. Por ejemplo, el servicio en la nube de Apple iCloud es una de las herramientas que aprovecha esta tecnología y ha confirmado ser vulnerable a este fallo de seguridad. También se utiliza por ejemplo en Twitter, Amazon, Microsoft y Minecraft, entre muchas otras.
Recientemente un investigador holandés, pudo demostrar como poder cambiar el nombre asignado a un iPhone mediante el aprovechamiento de esta vulnerabilidad. Otro investigador de origen desconocido hace unos días, publico como hacer lo mismo con un Tesla. También se ha descubierto que, el dron de exploración espacial Ingenuity, perteneciente a la NASA, y que hoy en día se encuentra en una misión de exploración en Marte, ha tenido problemas de comunicaciones debido a el fallo Log4Shell.
En que consiste la vulnerabilidad Log4Shell
Esencialmente, lo único que un atacante debía hacer para poder aprovecharse de esta vulnerabilidad es enviar una parte de código malicioso. Log4j registraría este código y tras hacerlo proporcionará acceso al atacante al sistema. Después, este podrá ejecutar código de forma remota.
Es decir, la vulnerabilidad posibilita que cualquier atacante pueda introducir texto y modificar parámetros de configuración del servidor que carga el dicho código para el desarrollo de la aplicación.
Quién ha detectado el fallo de seguridad
El descubrimiento fue realizado por Chen Zhaojun, un experto en ciberseguridad de Alibaba Cloud Security Team. Este era uno de los responsables de investigar y descubrir vulnerabilidades zero day. Esta es la forma en la que se denominan los fallos de seguridad y vulnerabilidades informáticas que acaban de descubrirse y no existe parche para solucionarlos.
Según informa la Oficina de Seguridad del internauta, se encuentran afectados todos los productos que utilizan la librería Log4j desde su versión 2.0beta9 hasta la versión 2.14.1.
Si se desea consultar que fabricantes y que productos se encuentran afectados, podemos hacerlo consultando un aviso de seguridad publicado por INCIBE-CERT en este enlace.
También podemos encontrar una entrada para saber como detectar la vulnerabilidad y como mitigar el problema de la propia Microsoft.
Intentos de resolver el problema
Al día siguiente de conocerse la existencia del fallo de seguridad Log4Shell se publico un parche para resolver el problema. Tres de los desarrolladores de la Apache Foundation fueron los responsables de la publicación de este parche. Además ha recibido nuevas actualizaciones en los días siguientes. No obstante, la responsabilidad de actualizar y aplicar el parche a sus equipos es exclusivamente de las empresas y los desarrolladores de aplicaciones.
No obstante, hace unos días el CEO de Cloudfire Matthew Prince, comunicó que era un problema de enormes dimensiones. Informó de que su empresa intentaría extender mecanismos para poder suavizarlo, tanto para sus clientes de pago como para los que utilizan su servicio gratuito.
Incluso la misma Apache Foundation ha calificado este fallo de seguridad con un índice de seguridad con una peligrosidad de 10 sobre 10.
Se han detectado miles de intentos de ataque a través de esta vulnerabilidad desde el pasado 9 de Dicembre. Además, las búsquedas de registros de algunas organizaciones nos indican que el fallo de seguridad puede haber sido explotado de forma abierta durante varias semanas antes de que se publicara. Debido a la amplitud es su utilización a sus posibilidades de uso por los ciberatacantes, en solamente tres días tuvo más de 50 variantes diferentes de ataques, según informa la plataforma de ciberseguridad Checkpoint.
Que puede hacer el usuario final
El usuario final básicamente, no puede hacer prácticamente nada al respecto contra Log4Shell, el fallo de seguridad más catastrófico hasta la fecha. El único caso en el que puedan hacer algo es si disponen de servidores en los que tengan instaladas aplicaciones o algún tipo de servicio que pueda hacer uso de este componente. Como he comentado con anterioridad, actualizar los sistemas para que sea corregido dicho componente es esencial con el nuevo parche actualizado.
Los expertos también nos recomiendan disponer de todas las herramientas de protección de las que dispongamos actualizadas. Esto se refiere tanto a los antivirus como a todo el software en general.
La propia Microsoft ha anunciado que algunos grupos relacionados con países como Turquía, Corea del Norte, Irán o China están utilizando la vulnerabilidad. La finalidad es la de acceder a datos de información tecnológica para sus gobiernos. Esto nos da una idea de lo catastrófico que puede llegar a ser el fallo de seguridad de Log4Shell.
En el caso concreto de España sabemos que esta siendo utilizado por los atacantes para evaluar posibles ataques de ransomware contra el SEPE o Servicio Público de Empleo Estatal.
No debemos olvidar que, si no se actualiza, aún con la existencia de un parche que corrige la vulnerabilidad el problema puede ir para largo. Recordemos que en el caso de “Wannacry”, existiendo un parche desde hacía tres meses, no había sido actualizado por multitud de empresas.
En el siguiente enlace, podéis ampliar información y conocer cuales son los tipos de software malicioso y como podemos protegernos.
