Estamos ya tan acostumbrados a hablar de robos de datos, fallos de seguridad y vulnerabilidades que hacerlo otra vez parece trivial, pero no lo es. No al menos en el caso de Log4Shell, una vulnerabilidad zero-day que algunos han calificado como la peor de la historia.
Log4Shell, también denominada LogJam, es una vulnerabilidad crítica en Log4j, una librería de código abierto en Java para registro de logs que es desarrollada por Apache Software Foundation y que es ampliamente utilizada.
Se trata de una vulnerabilidad de ejecución remota de código (CVE-2021-44228) descubierta por el equipo de Alibaba Cloud en noviembre y que fue parcheada en diciembre en la actualización 2.15.0 de Log4j; sin embargo, el viernes pasado se publicó un exploit para Log4Shell que permite a un atacante ejecutar código malicioso en un servidor vulnerable (incluso si no está expuesto a Internet) con solo modificar el user agent del navegador a un string en particular, lo que permitiría a un atacante incluso tomar control total del sistema comprometido. Esto incluye tanto servidores Linux como Windows.
Según los expertos, la vulnerabilidad es de fácil explotación y tiene impacto en la configuración por defecto de varios frameworks de Apache. Según explicó Apache Foundation, “un atacante que pueda controlar los mensajes de log o los parámetros de los mensajes de log para ejecutar código arbitrario desde servidores LDAP, cuando está habilitada la sustitución de mensajes de lookup”. Vale aclarar que con el lanzamiento de esta última actualización esta función ya no está habilitada por defecto.
El CERT de Suiza publicó un diagrama que muestra el proceso de explotación de la vulnerabilidad:
Según explicaron varios medios y especialistas, actores maliciosos ya comenzaron a escanear la red en busca de servidores vulnerables para explotar el fallo (o utilizarlos en futuros ataques) y realizar acciones maliciosas como instalar malware, exfiltrar datos o tomar el control del servidor. El CERT de Nueva Zelanda confirmó la activa explotación de esta vulnerabilidad.
Más allá de la severidad de la vulnerabilidad, que recibió un puntaje de 10 sobre 10 en la escala de CVSS, el hecho de que es utilizada por miles de aplicaciones, plataformas de comercio electrónico, videojuegos y sitios web genera preocupación. De hecho, según publicó BleepingComputer, ya se detectaron ataques distribuyendo distintos mineros de criptomonedas, como Kinsing, así como los códigos maliciosos Mirai y Muhstik. Los operadores detrás de estas dos botnets buscan comprometer dispositivos IoT y servidores y sumarlos a su red de equipos bajo su control para distribuir malware para minar criptomonedas y llevar adelante ataques de DDoS.
Asimismo, si bien hasta este momento no se ha detectado la explotación de esta vulnerabilidad para distribuir ransomware, no sería de extrañarse que esto suceda.
Los usuarios finales poco pueden hacer salvo que tengan servidores en los que tengan instalados servicios y aplicaciones que puedan usar ese componente. En ese caso, como los administradores de grandes plataformas y servicios, la clave está en actualizar los sistemas para que ese componente se corrija con el parche publicado.
Dada la severidad de la vulnerabilidad y su impacto, se urge instalar lo antes posible la última versión de Log4j para mitigar esta vulnerabilidad o hacer los ajustes correspondientes en la configuración.
