Vulnerabilidad crítica en los servidores Web (Log4J): Acción inmediata requerida
Luis Gorgona lgorgona@rsm.cr | Lunes 20 diciembre, 2021
El 9 de diciembre de 2021, se descubrió una vulnerabilidad de TI conocida como “Log4Shell” o “vulnerabilidad Apache Log4j”. Apache Log4j es una biblioteca de código abierto desarrollada en Java que permite a los desarrolladores escribir mensajes de registro en los sistemas. Se trata de una biblioteca ampliamente utilizada en software popular de diversos fabricantes, en virtud del impacto y la sensibilidad de dicha vulnerabilidad, se lanzó lo que se conoce como un “exploit de seguridad”. Esto ha creado una gran amenaza para la seguridad de muchos sistemas, tanto de software como de hardware, que las organizaciones utilizan ampliamente. El Enumerador común de vulnerabilidades (CVE por sus síglas en inglés) del Instituto Nacional de Estándares de Tecnología, califica esta vulnerabilidad con un 10, es decir máxima criticidad otorgable a una vulnerabilidad.
Esta vulnerabilidad constituye una amenaza muy seria para la seguridad de las organizaciones, ya que el atacante puede cargar código directamente en sus sistemas que no se actualizan y luego obtener el control de dichos sistemas. Este fallo de seguridad ha dejado la puerta abierta para que los ciberdelincuentes ataquen los servidores del conocido videojuego en línea Minecraft, simplemente con un mensaje en el chat de una partida. Si está biblioteca está en su versión 2.0 o posterior, inmediatamente dará acceso al atacante al sistema, quién podrá ejecutar código de forma remota, es decir, será capaz de controlar a distancia el dispositivo, o el sistema, sin mucha resistencia. Empresas alrededor del mundo especializadas en ciberseguridad alertan que esta brecha puede desencadenar ataques de ransomware, otros relacionados con las criptomonedas y muchos más, dada la facilidad de ser explotada y su capacidad de lograr impactos muy severos en las organizaciones.
Esto, por lo tanto, requiere de atención urgente por parte de los colaboradores de T.I. ciberseguridad y riesgo de las empresas. Debo hacer énfasis en la urgencia y alta criticidad de este asunto. Esta vulnerabilidad ya cuenta con un parche para solucionar el problema, sin embargo, se espera que la situación no se remedie en el futuro inmediato, dado el gran número de sistemas y dispositivos que se han visto afectados. Uno de los principales problemas que se presenta con esta corrección es el hecho de que no hay una receta estándar para arreglar la vulnerabilidad, es decir, esta será diferente según el proveedor del sistema y el código de software que utilice. Por otra parte, técnicamente, cualquier sistema basado en Apache Web Server, que comprende un tercio de los servidores expuestos a Internet alrededor del mundo según sitios especializados como https://w3techs.com/technologies/overview/web_server o https://www.wappalyzer.com/technologies/web-servers . Esto implica que uno de cada tres servidores con contenido disponible en Internet, puede ser víctima de un ataque basado en la explotación de esta vulnerabilidad.
Mientras las soluciones llegan, los usuarios solo pueden estar pendientes de futuras actualizaciones que les brinden la protección necesaria. Las acciones por tomar dependerán de los sistemas que tenga en uso. Se debe trabajar con sus equipos de T.I. internos, realizar evaluaciones del impacto y remediar en la próxima ventana posible.
Un aspecto muy importante para tomar en cuenta es el hecho de que esto no solo se circunscribe al entorno interno de las organizaciones. Es imperativo también, analizar los proveedores externos de sistemas Tanto en la nube, como internamente o alojados en servidores del proveedor para asegurarse de que se hayan tomado las medidas adecuadas para reparar o remediar los sistemas que utilizan.
Este es un llamado a la acción. La inacción por parte de los equipos de tecnologías de información puede derivar en serias consecuencias para su organización, tales como penetración de sistemas, robo de datos o boicoteo y secuestro de sistemas a cambio de una recompensa. Es necesario un análisis exhaustivo, integral y holístico de la organización y su entorno para determinar como hacer frente a esa vulnerabilidad. Como dije anteriormente, la inacción no es viable, Damas y caballeros, es hora de centrarnos en la protección de nuestros datos y sistemas. ¡a la carga!
El detalle de la vulnerabilidad puede ser encontrado en https://nvd.nist.gov/vuln/detail/CVE-2021-44228