Log4Shell es la vulnerabilidad crítica ‘de proporciones catastróficas’ que amenaza con destrozar internet

Inicia en el mundo de Microsoft .NET con estos cursos.

Estamos ya tan acostumbrados a hablar de robos de datos, fallos de seguridad y vulnerabilidades que hacerlo otra vez parece trivial, pero no lo es. No al menos en el caso de Log4Shell, una vulnerabilidad zero-day que algunos han calificado como la peor de la historia.

Log4Shell, también denominada LogJam, es una vulnerabilidad crítica en Log4j, una librería de código abierto en Java para registro de logs que es desarrollada por Apache Software Foundation y que es ampliamente utilizada.

Se trata de una vulnerabilidad de ejecución remota de código (CVE-2021-44228) descubierta por el equipo de Alibaba Cloud en noviembre y que fue parcheada en diciembre en la actualización 2.15.0 de Log4j; sin embargo, el viernes pasado se publicó un exploit para Log4Shell que permite a un atacante ejecutar código malicioso en un servidor vulnerable (incluso si no está expuesto a Internet) con solo modificar el user agent del navegador a un string en particular, lo que permitiría a un atacante incluso tomar control total del sistema comprometido. Esto incluye tanto servidores Linux como Windows.

Según los expertos, la vulnerabilidad es de fácil explotación y tiene impacto en la configuración por defecto de varios frameworks de Apache. Según explicó Apache Foundation, “un atacante que pueda controlar los mensajes de log o los parámetros de los mensajes de log para ejecutar código arbitrario desde servidores LDAP, cuando está habilitada la sustitución de mensajes de lookup”. Vale aclarar que con el lanzamiento de esta última actualización esta función ya no está habilitada por defecto.

El CERT de Suiza publicó un diagrama que muestra el proceso de explotación de la vulnerabilidad:

Según explicaron varios medios y especialistas, actores maliciosos ya comenzaron a escanear la red en busca de servidores vulnerables para explotar el fallo (o utilizarlos en futuros ataques) y realizar acciones maliciosas como instalar malware, exfiltrar datos o tomar el control del servidor. El CERT de Nueva Zelanda confirmó la activa explotación de esta vulnerabilidad.

Más allá de la severidad de la vulnerabilidad, que recibió un puntaje de 10 sobre 10 en la escala de CVSS, el hecho de que es utilizada por miles de aplicaciones, plataformas de comercio electrónico, videojuegos y sitios web genera preocupación. De hecho, según publicó BleepingComputer, ya se detectaron ataques distribuyendo distintos mineros de criptomonedas, como Kinsing, así como los códigos maliciosos Mirai y Muhstik. Los operadores detrás de estas dos botnets buscan comprometer dispositivos IoT y servidores y sumarlos a su red de equipos bajo su control para distribuir malware para minar criptomonedas y llevar adelante ataques de DDoS.

Asimismo, si bien hasta este momento no se ha detectado la explotación de esta vulnerabilidad para distribuir ransomware, no sería de extrañarse que esto suceda.


Los usuarios finales poco pueden hacer salvo que tengan servidores en los que tengan instalados servicios y aplicaciones que puedan usar ese componente. En ese caso, como los administradores de grandes plataformas y servicios, la clave está en actualizar los sistemas para que ese componente se corrija con el parche publicado.

Dada la severidad de la vulnerabilidad y su impacto, se urge instalar lo antes posible la última versión de Log4j para mitigar esta vulnerabilidad o hacer los ajustes correspondientes en la configuración.

Welivesecurity

Queremos seguir creando cursos gratuitos en nuestro canal de YouTube. Solo te pedimos tu ayuda para crecer más. Suscríbete por favor. (Cursos, talleres y charlas gratis para ti).

Ernesto Mota
Nací en el d.f., sigo siendo defeño, hoy radico en la hermosa ciudad de Cuernavaca, Morelos, soy Ing. en Sistemas computacionales, con un posgrado en Tecnologías de información, Doctorando en ambientes virtuales de aprendizaje y realidad aumentada, Tecnólogo es mi categoría laboral, y mi linea de investigación es la realidad aumentada aplicada a nuevos entornos de aprendizaje.

Últimos artículos

a

Publicasciones relaciodadas