Inicio
Inicio
Solicite una demostración

Vulnerabilidad de Log4j: Todo lo que necesita saber

Compartir

La vulnerabilidad recientemente descubierta en Apache Log4j ha hecho que las organizaciones y los proveedores de seguridad se apresuren a parchear los sistemas afectados. Por desgracia, este grave fallo de seguridad puede afectar a muchas más aplicaciones y sistemas con el tiempo, incluso después de parchear.

Agentes malintencionados han aprovechado la vulnerabilidad de Apache Log4j para atacar numerosas redes corporativas en todo el mundo, lo que la convierte en un fallo muy grave.

Aunque su descubrimiento se remonta a noviembre de 2021, el primer informe oficial fue el 10 de diciembre. Para entonces, la vulnerabilidad log4j ya había afectado a casi un tercio de los servidores web mundiales, según Cybereason.

Check Point, una empresa líder en ciberseguridad, describió Log4j como una vulnerabilidad grave, que ha impedido más de cuarenta y tres millones de intentos de acceder a los sistemas. Además, informó de que el 46% de esos intentos procedían de grupos maliciosos conocidos.

Ahora, mientras más organizaciones se apresuran a parchear la vulnerabilidad, es fundamental comprender lo que ha sucedido desde su descubrimiento.

Aquí está todo lo que su organización debe saber sobre la vulnerabilidad de Apache Log4j, sus efectos y la guía de mitigación.

La vulnerabilidad de Apache Log4j ha hecho que las organizaciones y los proveedores de seguridad se apresuren a parchear los sistemas afectados. Conozca en qué consiste y si está o no en riesgo.

¿Qué es Log4j?

Log4j es un software de código abierto desarrollado por Apache Software Foundation. Está codificado en Java y funciona en Windows, macOS y Linux.

Log4j permite la creación de registros integrados: registros de actividades de resolución de problemas o seguimiento de datos dentro de los programas. Muchas organizaciones utilizan Log4j como su biblioteca de registro preferida por ser de código abierto y gratuita.

Log4j v1 surgió hace 21 años como una biblioteca de registro estándar para aplicaciones Java. En la actualidad, Log4j v2 es uno de los servicios de registro de varias aplicaciones basadas en Java.

Su distribución bajo la licencia de la Apache Software Foundation como software de código abierto lo ha convertido en una opción popular para muchas organizaciones de todo el mundo. Es un mecanismo sencillo para registrar aplicaciones y datos generados por los usuarios desde dentro de las aplicaciones.

Log4j contiene la clase Java Naming and Directory Interface (JNDI), que proporciona la resolución de búsqueda de objetos y variables. El proceso de resolución permite a los hackers lanzar exploits con infecciones que van desde un simple escaneo masivo para buscar otros hosts que infectar hasta instalar puertas traseras para la exfiltración de datos.

¿Qué es la vulnerabilidad de seguridad de Apache Log4j?

La vulnerabilidad Log4j permite a los hackers ejecutar código de forma remota en los sistemas y ordenadores objetivo. Es una vulnerabilidad de seguridad de alto perfil cuya puntuación de gravedad es de diez sobre diez.

Los atacantes podían enviar comandos al servidor que los servidores vulnerables ejecutaban. Incluía una ejecución remota de código (RCE), una clase crítica de infección que da a los atacantes acceso total de control remoto a los sistemas host, lo que les permite lanzar lo que quieran.

Un miembro del equipo de seguridad de la nube de Alibaba descubrió por primera vez la vulnerabilidad de Log4j el 24 de noviembre de 2021 y la comunicó al equipo del proyecto de código abierto Apache. Más tarde, el 10 de diciembre, el gobierno estadounidense informó del fallo de seguridad a través de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA).

Poco después del anuncio público, los actores de las amenazas se apresuraron a escribir software que pudiera escanear y explotar la vulnerabilidad log4j a escala. Otros distribuyeron el código de forma gratuita y lanzaron bots para escanear y explotar sistemas débiles.

La superficie de amenaza de las vulnerabilidades de día cero sigue creciendo, poniendo en peligro más aplicaciones de software de código abierto.

En declaraciones a Toolbox, Kayla Underkoffler, tecnóloga sénior de seguridad de HackerOne, afirmó que el código abierto está detrás de la mayoría de las infraestructuras digitales modernas. Añadió que la aplicación media utiliza alrededor de 528 componentes de código abierto, lo que aumenta significativamente la superficie de amenaza.

Por desgracia, las organizaciones no controlan el software de código abierto, lo que dificulta la corrección de los puntos débiles de la cadena de suministro.

Cómo funciona Log4j y cómo lo explotan los atacantes

La nueva vulnerabilidad log4j de Apache de día cero permite ataques RCE fáciles de explotar. Los hackers pueden utilizar la vulnerabilidad de la biblioteca de registro de Java para insertar texto en los mensajes de registro para cargar el código de los servidores remotos.

Además, los servidores dirigidos pueden ejecutar códigos a través de llamadas a la interfaz de nombres y directorios de Java (JNDI), conectando su interfaz con varios servicios, entre ellos:

  • Protocolo ligero de acceso a directorios (LDAP)
  • Interfaz remota de Java (RMI)
  • Servicio de nombres de dominio 
 

Los atacantes pueden entonces explotar URLs, LDAP, RMI y DNS redirigiendo a servidores externos.

Por desgracia, el descubrimiento de la vulnerabilidad de Log4j y los parches posteriores crearon otro problema.

Como los atacantes sabían que los parches estaban disponibles y que se les cerraba la ventana para lanzar ataques cuidadosamente elaborados, se apresuraron a instalar o copiar trozos de código en los sistemas objetivo que permanecerían latentes hasta su activación. Esto significa que aún están por llegar ataques más sofisticados.

¿A quién afecta la vulnerabilidad de Log4j?

Varias empresas ya han sido víctimas de la vulnerabilidad Log4j, exponiendo millones de dispositivos. El fallo ha puesto en riesgo a grandes empresas tecnológicas como Apple, Oracle, Cisco, Minecraft, Google y Microsoft. Nadie está a salvo, desde las plataformas en la nube y los servicios de correo electrónico hasta las aplicaciones web.

Minecraft, propiedad de Microsoft, una popular empresa de videojuegos, es una de las primeras víctimas del exploit log4j.

Hasta ahora, 12 proveedores de ciberseguridad también han sido víctimas de la vulnerabilidad, según CRN. Entre ellos se encuentran CyberArk, Okta, Broadcom, F-Secure, Fortinet, SonicWall, VMware Carbon Black, Ping Identity, ForgeRock, Rapid7, Sopho y RSA Security.

Cómo pueden las organizaciones protegerse contra la vulnerabilidad de día cero de Log4j

La forma más habitual de solucionar las vulnerabilidades es instalando actualizaciones del sistema o aplicando parches. Del mismo modo, Apache Log4j ha lanzado el Apache Log4 2 que promete solucionar los problemas de seguridad existentes en la arquitectura de logback. Logback es el sucesor del proyecto log4j.

Microsoft también ha publicado un comunicado en su blog en el que anima a sus clientes a aplicar las actualizaciones que ha publicado en su Guía de Actualizaciones de Seguridad.

Desgraciadamente, la prevención de un ataque de día cero de nuevos eventos de seguridad sigue siendo una aspiración, ya que la mayoría de las empresas siguen luchando por responder si son vulnerables. Un factor determinante en la eficacia de los parches de seguridad es la rapidez con la que una organización puede aplicar los cambios.

Las empresas de élite que invierten en ciberseguridad y recuperación de desastres pueden completar su ciclo en menos de una hora. Sin embargo, otras organizaciones pueden tardar un día o una semana en completar el proceso, ya que dedican tiempo a buscar el código que hay que arreglar.

Los equipos de seguridad de una organización deben adoptar un enfoque de defensa en profundidad para prevenir las brechas de ciberseguridad y permitirles encontrar y eliminar los errores. Además, asegurar el software mal financiado es fundamental para las organizaciones que dependen de él.

Cómo asegurar las redes

Lo siguiente puede ayudar a mantener a las organizaciones a salvo de un exploit de Log4j:

1. Parchee pronto y a menudo

Lo mejor es crear un sistema o proceso que garantice que las futuras versiones de sus aplicaciones, código, software, servidores y estaciones de trabajo permanezcan actualizadas.

Para ello, analice los parches siguiendo una cadencia regular. Por ejemplo, la versión 2.17.1 es el nivel de parche más reciente para log4j.

2. Desarrollar la confianza cero

Trate su red interna con confianza cero, igual que todo lo externo. Por ejemplo, puede desarrollar el enfoque de mínimo privilegio (confianza cero) para conceder permisos solo cuando sea necesario y limitar el acceso a quienes realmente lo necesiten para la continuidad del negocio.

Además, puede aislar las cargas de trabajo entre sí y denegar por defecto el acceso a determinados tráficos dentro de su red si, por ejemplo, no es necesario que una aplicación o sistema se comunique.


3.Eliminar el código

Si es imposible parchear la última revisión del código de una aplicación basada en log4j, elimine la función de la clase de búsqueda JDNI. Sin embargo, proceda con precaución porque podría afectar al funcionamiento de algunas aplicaciones
.

4.Asumir lo peor

Asuma siempre que todas las vulnerabilidades de base RCE conducen a infecciones basadas en gusanos. Por lo tanto, significaría que otros servidores corren el riesgo de ser explotados a través del servidor víctima. Asuma que todas sus redes y sistemas se verán comprometidos.


5.Realizar pruebas de seguridad

Realice pruebas con equipos morados y haga que los equipos rojos ataquen mientras los equipos azules verifican la visibilidad y se aseguran de que las defensas como IPS y EDR funcionan según lo previsto. Si algo no funciona como es debido, ajústelo y vuelva a ejecutarlo.


6.Investigar actividades maliciosas

Busque indicadores de ataque o compromiso si su organización ejecuta una versión vulnerable de log4j. Por ejemplo, la vulnerabilidad podría incluir una utilización de recursos anormalmente alta, actividad de registro inesperada, tráfico de red extraño a través de sus cargas de trabajo y la creación de nuevos usuarios.


7.Rastrear todo

Cree un sistema que rastree su red, incluidos los usuarios, los activos y el software del proveedor. Si aparecen nuevas incógnitas, investígalas y rastrea su origen.

Cómo planea Estados Unidos protegerse contra la vulnerabilidad de Apache Log4j

El gobierno estadounidense ha publicado recientemente una directiva de emergencia que establece directrices para que las organizaciones y agencias civiles federales respondan al ataque.

El gobierno también está planeando conversaciones con socios privados y públicos para mitigar el exploit log4j y mejorar la gestión de vulnerabilidades de cara al futuro.

La directora de la CISA, Jen Easterly, declaró que la agencia estaba trabajando con otros socios públicos y privados clave, además de agencias federales como Joint Cyber Defense Collaboration, NSA Cyber y el FBI, para gestionar la evolución de la amenaza.

Añadió que CISA seguiría actualizando su página web consolidada sobre Log4j para ayudar a las organizaciones a reducir sus riesgos.

El resultado final

La ciberseguridad siempre ha sido un requisito crítico y permanente, pero ahora tiene un mayor sentido de urgencia con la escalada del número y la intensidad de los ciberataques.

Las vulnerabilidades de seguridad de Apache Log4j han demostrado que las organizaciones necesitan invertir más en ciberseguridad, más allá de cumplir los requisitos de conformidad.

Además, aunque el software de código abierto tiene numerosas ventajas, como su disponibilidad y gratuidad, las organizaciones deberían empezar a pensar en crear software seguro desde cero.

También es fundamental ofrecer transparencia sobre las bibliotecas de software vulnerables mediante la lista de materiales de software (SBOM).

Compartir

Explorar más recursos

  • Artículo

Los 9 consejos de ciberseguridad más importantes para sus empleados

Las organizaciones están inundadas de consejos de ciberseguridad, pero ¿cuáles son los más importantes?
  • Artículo

8 amenazas a la ciberseguridad móvil que deberías tomarte en serio

Entre el 80 y el 90% de las aplicaciones móviles contienen una vulnerabilidad de seguridad. Más información
  • Artículo

Zoom Estrategias de ciberseguridad y privacidad

El crecimiento de Zoom durante y después de Covid agilizó el trabajo en zonas remotas. Sin embargo, las videoconferencias
  • Artículo

8 razones sorprendentes por las que los piratas informáticos atacan a las escuelas

Los piratas informáticos atacan a las escuelas por varias razones. Para robar datos de investigación, conocer secretos comerciales
Recursos empresariales

Su fuente de confianza para la educación cibernética

Suscríbase al boletín trimestral de ThriveDX para recibir información sobre las últimas tendencias en ciberseguridad, opiniones de expertos, noticias sobre seguridad y recursos gratuitos.

Inscríbete
Twitter Facebook-square Linkedin

¡Nos hemos unido a ThriveDX!

Para profundizar en nuestro compromiso de crear un impacto generacional con la mejor educación cibernética global para transformar vidas, Cybint es ahora un orgulloso miembro de la familia ThriveDX.
DESCARGUE SU COPIA GRATUITA
enlace de cierre
Desarrollado por Convert Plus

Contactar con las asociaciones de ThriveDX

[forminator_form id="10629″]

Si desea ponerse en contacto con alguien de nuestro equipo in situ, deje su información de contacto aquí y nos pondremos en contacto con usted directamente durante la conferencia.

Conéctese con nuestro equipo

Nombre(Obligatorio)

Ir al contenido