Los equipos de seguridad de empresas grandes y pequeñas están luchando para parchear una vulnerabilidad previamente desconocida llamada Log4Shell, que tiene el potencial de permitir que los hackers comprometan millones de dispositivos en Internet.
Si se explota, la vulnerabilidad permite la ejecución remota de código en servidores vulnerables, lo que le da al atacante la capacidad de importar malware que comprometería completamente las máquinas.
La vulnerabilidad se encuentra en log4j, una biblioteca de registro de código abierto utilizada por aplicaciones y servicios en Internet. El registro es un proceso en el que las aplicaciones mantienen una lista actualizada de las actividades que han realizado, que luego se puede revisar en caso de error. Casi todos los sistemas de seguridad de red ejecutan algún tipo de proceso de registro, lo que le da a las bibliotecas populares como log4j un enorme alcance.
“Cuando veo hacia atrás los últimos 10 años solo hay otros dos exploits en las que puedo pensar con una gravedad similar”
Tweet
Marcus Hutchins, un destacado investigador de seguridad mejor conocido por detener el ataque global de malware WannaCry, señaló en línea que millones de aplicaciones se verían afectadas. “Millones de aplicaciones usan Log4j para iniciar sesión, y todo lo que el atacante debe hacer es hacer que la aplicación registre una cadena especial”, dijo Hutchins en un tuit.
El exploit se vio por primera vez en sitios que albergan servidores de Minecraft, que descubrieron que los atacantes podían desencadenar la vulnerabilidad al publicar mensajes de chat. Un tweet de la empresa de análisis de seguridad GreyNoise informó que la empresa ya ha detectado numerosos servidores que buscan en Internet máquinas vulnerables al exploit.
Una publicación de blog de la empresa de seguridad de aplicaciones LunaSec afirmó que la plataforma de juegos Steam y iCloud de Apple ya habían resultado vulnerables. Cuando se le solicitó un comentario, el portavoz de Valve, Doug Lombardi, dijo que los ingenieros revisaron de inmediato sus sistemas y, debido a las reglas de seguridad de la red relacionadas con el código no confiable, no creen que Steam esté en riesgo de explotación. Apple respondió de inmediato a una solicitud de comentarios.
Para aprovechar la vulnerabilidad, un atacante debe hacer que la aplicación guarde una cadena especial de caracteres en el registro. Dado que las aplicaciones registran rutinariamente una amplia gama de eventos, como mensajes enviados y recibidos por los usuarios, o los detalles de los errores del sistema, la vulnerabilidad es inusualmente fácil de explotar y puede activarse de varias maneras.
“Esta es una vulnerabilidad muy grave debido al uso generalizado de Java y este paquete log4j“, dijo el CTO de Cloudflare, John Graham-Cumming. “Hay una gran cantidad de software Java conectado a Internet y en sistemas de back-end. Cuando miro hacia atrás en los últimos 10 años, solo puedo pensar en otros dos exploits con una gravedad similar: Heartbleed, que le permitía obtener información de servidores que deberían haber sido seguros, y Shellshock, que le permitía ejecutar código en una máquina remota”.
Sin embargo, la diversidad de aplicaciones vulnerables al exploit y la gama de posibles mecanismos de entrega significan que la protección de firewall por sí sola no elimina el riesgo. Teóricamente, el exploit podría incluso llevarse a cabo físicamente al ocultar la cadena de ataque en un código QR que fue escaneado por una empresa de entrega de paquetes, ingresando al sistema sin haber sido enviado directamente a través de Internet.
Ya se lanzó una actualización de la biblioteca log4j para mitigar la vulnerabilidad, pero dado el tiempo necesario para garantizar que todas las máquinas vulnerables estén actualizadas, Log4Shell sigue siendo una amenaza apremiante.
socmono.com 