Nueva vulnerabilidad de Java Log4j que afecta a millones de aplicaciones
El pasado 9 de diciembre se hizo pública una vulnerabilidad 0day en la popular biblioteca de software de código abierto Java Log4j, utilizada para crear registro, almacenar y crear información de registro de software, aplicaciones, dispositivos de hardware, etc. Esta plataforma es utilizada en muchos productos, tanto comerciales como en desarrollos propios basados en Java.
¿Cuál es el riesgo?
Se trata de una vulnerabilidad especialmente peligrosa porque su explotación puede realizarse de forma remota, no requiere autenticación y puede dar acceso completo al servidor/dispositivo atacado. Además, se puede atacar usando solo una línea de código, y, de hecho, ya se han publicado ataques de prueba de concepto.
Además, se trata de una biblioteca de registros ampliamente utilizada y se encuentra en una extensa gama de dispositivos y software de empresas como Apache Struts y Tomcat, Solr, distribuciones de Linux, Blackberry Symantec, Apple, etc.
¿Quiénes son los más afectados?
Desgraciadamente, no hay ningún tipo de organización que pueda verse más afectada que otra y, por tanto, para una empresa es complicado saber si es vulnerable. Por poner un ejemplo, podrías no tener la vulnerabilidad en tu versión de software, pero sí en los dispositivos que utilizas (como los dispositivos VPN, los proveedores de la nube, etc.).
Como se trata de una biblioteca de Apache, es más probable que se ejecute en servidores Linux. Sin embargo, al tratarse de una vulnerabilidad de Java puede ejecutarse en múltiples plataformas, los servidores Windows y Apple también podrían ser vulnerables.
Se sospecha que las empresas con una facturación de entre 25 millones y 1.000 millones de euros son las que corren más riesgo, debido a que es probable que estén ejecutando software o dispositivos vulnerables. Estas mismas empresas son también las que deberían tener la capacidad de detección y los conocimientos necesarios para ponerle remedio a esta vulnerabilidad.
¿Qué hacer?
Preguntas clave que deberías hacerte como dueño o gerente de la empresa:
- ¿Eres consciente de la reciente vulnerabilidad de log4j, también conocida como CVE-2021-44228 o log4shell?
- ¿Has evaluado tu exposición a la misma para el caso de las aplicaciones desarrolladas internamente?
- ¿Has hablado con tus proveedores de hardware/software/nube y has evaluado si tus servicios se han visto afectados?
- ¿Tienes un plan para desplegar actualizaciones a partir de los resultados de las preguntas anteriores?
Pasos a seguir por el personal con conocimientos técnicos
(NOTA: En caso de duda, entrega este documento a tus proveedores de servicios de TI, quienes pueden trabajar en estos pasos contigo. Sin embargo, ten en cuenta que estas son medidas preventivas para mantener la seguridad de tu infraestructura de TI y, por lo tanto, no están cubiertas por tu pólizaEs el documento donde se explicitan los derechos y deberes d ciber).
Paso 1: Identifica a todos tus proveedores de TI.
Además de los servidores Windows y Linux, deben incluirse dispositivos como firewalls, servidores de registro, hipervisores, enrutadores, proveedores en la nube (por ejemplo, sistemas financieros y de recursos humanos).
Además, el software también se puede utilizar en máquinas industriales. Por lo tanto, estos sistemas (ICS, SCADA, IoT) deben verificarse para detectar esta vulnerabilidad de seguridad y comunicarse con el fabricante de estos sistemas.
Paso 2: Para cada proveedor, establece si su software es vulnerable y si hay un parche disponible.
El INCIBE tiene una base de datos con información en castellano sobre las últimas vulnerabilidades documentadas y conocidas, así como si hay un parche o una solución alternativa disponible. Debes hacer una referencia cruzada de tu lista de proveedores de TI con la información en el enlace a continuación:
Paso 3: aplica los parches para cada servicio.
Cada fabricante debería ofrecer consejos específicos sobre cómo instalar actualizaciones en sus servicios. Dado que los ataques que estamos viendo se originan en otros lugares distintos de Internet, debes priorizar la aplicación de parches a los sistemas perimetrales, como firewalls, balanceadores de carga, dispositivos de puerta de enlace y sistemas VPN, ya que todos son externos. Después de esto, cualquier otro sistema orientado a la web (servidores web, etc.) y finalmente el sistema interno en tus redes privadas.
Debido a la naturaleza generalizada de la vulnerabilidad, no existe una única solución para todos los casos en los que se puedan producir fallos de seguridad, pero seguir estos sencillos pasos reducirá significativamente tus riesgos de un futuro incidente de ciberseguridad a raíz de la vulnerabilidad Log4j.
Enlaces de interés para ampliar información
Estos enlaces son externos y no han sido examinados por Hiscox ni por GSF Bróker, pero sirven para entender más acerca de la problemática:
- Información publicada por INCIBE con recursos y soluciones para protegerse y parchear tus sistemas
- Detalles adicionales ofrecidos por Lunasec.
- Lista de más de 180 proveedores con enlaces a sus consejos, recopilada por un investigador de seguridad francés.
- Listado facilitado por el Centro Nacional de Seguridad Británico con un listado de casi 1.000 servicios que podrían tener o no esta vulnerabilidad.