La vulnerabilidad Log4j continúa presentando una gran amenaza para las organizaciones un año después de que la Apache Software Foundation la hiciera pública. Si bien la cantidad de ataques que se han publicado en estos doce meses dirigidos al fallo ha sido menor de lo que muchos esperaban, el 72% de las organizaciones siguen estando expuestas.
Un alto porcentaje de sistemas sigue aún sin parches contra esta brecha, por lo que las organizaciones deben afrontar importantes desafíos. El hecho de que la biblioteca de código abierto Log4j se utilice en casi el 64% de las aplicaciones Java, y solo la mitad de ellas se haya actualizado a una versión completamente reparada, significa que los atacantes seguirán intentándolo.
Según los datos que maneja Tenable a partir de más de 500 millones de pruebas, el 72% de las organizaciones sigue siendo vulnerable a Log4Shell, como comúnmente se conoce a esta vulnerabilidad crítica.
Desde la aparición de Log4Shell en diciembre de 2021, los investigadores de seguridad la han considerado como una de las vulnerabilidades más importantes de los últimos años debido a su prevalencia y la relativa facilidad con la que los atacantes pueden explotarla.
En las semanas posteriores a su descubrimiento, las organizaciones reasignaron recursos e invirtieron decenas de miles de horas en esfuerzos de identificación y solución.
Según los datos de la telemetría de Tenable, uno de cada diez activos era vulnerable a Log4Shell en diciembre del pasado año. Servidores, aplicaciones web, contenedores y dispositivos IoT estaban ampliamente expuesto a esta brecha. Un año después, los datos muestran una mejora, con un 2,5% de los activos vulnerables, si bien el 29% de estos activos tuvo repeticiones de Log4Shell después de que se remediara completamente.
Según apunta el director de seguridad de la compañía, Bob Huber, conseguir remediar una brecha así completamente es muy difícil para una vulnerabilidad tan generalizada ya que no se trata de un proceso único. «Si bien una organización puede haber solucionado el problema por completo en algún momento, y ha agregado nuevos activos a sus entornos, es probable que se encuentre con Log4Shell una y otra vez», destaca Huber.
Por tanto, los expertos destacan que erradicar Log4Shell es una batalla continua que requiere que las organizaciones evalúen continuamente sus entornos en busca de fallos, así como otras vulnerabilidades.
Log4j, un riesgo de seguridad endémico
Alrededor del 28% de las organizaciones de todo el mundo han solventado completamente Log4Shell. Además, el 53% de las organizaciones han sido vulnerables a Log4j durante el último año, lo que subraya la naturaleza omnipresente de esta brecha y la necesidad de realizar esfuerzos continuos para solventarlo, incluso si ya se solucionó previamente.
No en vano, a partir del pasado mes de octubre, 29% de los activos vulnerables vio la reintroducción de Log4Shell después de conseguir solucionarlo completamente. Algunas industrias lo están resolviendo mejor que otras, como la ingeniería, los servicios legales y financieros, las ONG y el gobierno, que están a la cabeza en lo que a la resolución completa de este problema se refiere.
Con ello, el 28% de las organizaciones norteamericanas han solucionado completamente Log4j, seguidas de las de EMEA, con un 27% que han conseguido solucionarlo, así como el 25% de las de Asia Pacífico y el 21% de las latinoamericanas.
Estos datos evidencias que Log4Shell es un riesgo de seguridad endémico con el que las organizaciones deberán lidiar algunos años más. Aunque hayan conseguido solventarlo completamente, las instancias vulnerables de Log4j permanecerán en los sistemas durante muchos años y llevará a que las organizaciones estén en riesgo de sufrir ataques en el futuro.
