El pasado 9 de diciembre la Apache Software Foundation revelaba una vulnerabilidad ‘Zero Day’ de ejecución remota de código en el paquete de registro de Apache Log4j, la librería de código abierto más popular de Java. Log4Shell, como así se ha denominado a este exploit, es fruto de un fallo de seguridad de software que se desconocía hasta que se han registrado amenazas. De ahí su nombre de ‘día cero’, es decir, no existe margen de tiempo que sirva de advertencia para crear un parche antes del ataque.
Se trata de una biblioteca de registro comúnmente utilizada, por lo que las alertas no han parado de sucederse desde entonces:
- Intento de explotación en más del 40% de las redes corporativas a nivel mundial según Check Point Research.
- Más de sesenta nuevas variaciones del exploit original en menos de un día.
- Más de 700 intentos de escaneo en las redes de los usuarios de las soluciones de Kaspersky.
- Cientos de miles de intentos de ejecutar código de forma remota detectados por Sophos.
Según el Instituto Nacional de Ciberseguridad (INCIBE) están afectados todos los productos que utilizan dicha librería, desde la versión 2.0-beta9 hasta la versión 2.14.1. Atlassian, Cisco, Citrix, Docker, Fortinet o Solarwinds están entre los fabricantes que integran esta librería en sus productos. Por otro lado, Twitter, Amazon y Microsoft, así como cámaras web, sistemas de navegación para automóviles o dispositivos médicos son algunos de los servicios y aplicaciones en riesgo de ser atacados. Como curiosidad, el dispositivo hackeable más alejado se encuentra en Marte, y tiene una copia no parcheada de Log4j.
Por lo que han podido averiguar los expertos, la vulnerabilidad resulta sencilla de explotar, permitiendo a los ciberdelincuentes controlar servidores web basados en Java. La propia Apache Software Foundation le otorga a la vulnerabilidad un riesgo de diez sobre diez, de modo que los esfuerzos se centraron inmediatamente en desarrollar un parche de seguridad que vio la luz al día siguiente de haber sido detectada la incipiente problemática. Sin embargo, la versión 2.15.0 se quedaba corta y unos días después se ponía a disposición la versión Log4j 2.16.0.
Si ya existen actualizaciones, ¿dónde está el problema?
La implantación masiva de Apache Log4j hace que los expertos teman por las impredecibles consecuencias. Son las empresas y servicios las que deberían tomar medidas inmediatas para evitar ataques a sus productos. Sin embargo, teniendo en cuenta que iniciamos temporada festiva, es muy probable que los equipos de seguridad actúen de una forma más lenta de lo habitual, explican en Check Point Research.
Hablamos de un potencial daño incalculable con ataques que van desde la instalación de una nueva familia de ransomware llamada ‘Khonsari’ o la implementación del troyano de acceso remoto Orcus, a la creación de puertas traseras a través de botnets y la minería de criptomonedas, tal y como alertan desde Bitdefender. Además, Kaspersky concluye que es realmente fácil aprovechar esta vulnerabilidad, incluso para ciberdelincuentes más inexpertos. Estaríamos, pues, ante lo que ya han denominado una “ciberpandemia” por su rapidísimo contagio y porque puede convivir entre nosotros durante años.
Entonces, ¿cuál es la solución?
Como ya mencionábamos en líneas anteriores es imprescindible instalar la versión más reciente de la librería. La versión 2.15.0 abordó la vulnerabilidad más grave, pero estaba incompleta en algunas configuraciones predeterminadas y dejaba la puerta abierta a los ataques de denegación de servicio. Por eso, el 13 de diciembre se lanzó la versión 2.16.0, y además desde la Apache Software Foundation avisan de que para los usuarios que utilicen Java 7 es esencial actualizar a la versión Log4j 2.12.2. Las descargas se pueden realizar desde esta página.
Por otro lado, junto a las pertinentes actualizaciones, se requiere de una vigilancia constante y de una estrategia sólida de prevención. Kaspersky sugiere a las empresas contar con una solución de seguridad que ofrezca componentes de prevención de exploits, vulnerabilidad y gestión de parches. Deben ser útiles incluso para identificar y detener ataques en etapas tempranas.
La complejidad y el impacto de esta vulnerabilidad supondrá una tarea de largo recorrido para descifrarla en su totalidad. No obstante, han sido muchos los detalles que gracias a los investigadores se han ido revelando hasta el momento. Si quieres conocerlos y obtener más información sobre asuntos como la repercusión y la procedencia de los intentos de explotación, te recomendamos este artículo.