Durante los últimos días, hemos visto como un nombre se repite en los titulares de las noticias de tecnología: Log4Shell. A continuación te explicamos por qué deberías saber qué es y la razón por la que todos están hablando de esto.
Log4Shell es el nombre dado a la vulnerabilidad explotada en la utilidad de registro Log4J. Esta falla crítica de día cero que salió a la luz la semana pasada cuando fue utilizada para comprometer servidores de Minecraft.
La fuente de la vulnerabilidad es Log4J, como dijimos, esta es una utilidad de registro utilizada por millones de aplicaciones en todo el mundo. Inclusive, las utilizadas dentro de casi todas las empresas del planeta. De hecho, los servidores de Minecraft fueron el primer anuncio de un peligro con profundas implicaciones para la seguridad de Internet en todo el mundo.
Tras ser descubierta, la vulnerabilidad Log4Shell demostró ser una amenaza tan grave como afirmaron los expertos en ciberseguridad. Después de los servidores de Minecraft, a la lista de servicios en la nube afectados se han sumado los proveedores importantes de Internet.
Esta vulnerabilidad fue descubierta por Chen Zhaojun, del equipo de seguridad de Alibaba Cloud, mantiene a los analistas e investigadores de amenazas evaluando los daños hasta ahora. Al mismo tiempo que se analizan las perspectivas para las próximas semanas y meses.
Esto es lo que hay que saber por ahora.
¿Qué es Log4J y por qué Log4Shell es tan importante?
Log4J es una herramienta de registro de código abierto basada en Java y disponible en Apache. Tiene la capacidad de realizar búsquedas en la red utilizando la Interfaz de Nombres y Directorios de Java para obtener servicios del Protocolo Ligero de Acceso a Directorios. Lo cual significa que Log4j interpretará un mensaje de registro como una URL, irá a buscarlo e incluso ejecutará cualquier carga útil ejecutable que contenga con los privilegios completos del programa principal.
Log4Shell o LogJam, es una vulnerabilidad de clase Remote Code Execution (RCE). Si los atacantes logran ejecutarla en uno de los servidores, obtendran la capacidad de ejecutar código arbitrario y potencialmente tomar el control total del sistema.
La vulnerabilidad, registrada como CVE-2021-44228, tiene una calificación de gravedad de 10 sobre 10. Esta había sido utilizada al menos nueve días antes de que saliera a la luz.
Lo que hace que CVE-2021-44228 sea especialmente peligrosa es la facilidad de explotación. Kaspersky dijo que incluso un hacker sin mucha experiencia puede ejecutar un ataque utilizando esta vulnerabilidad. Según los investigadores, los atacantes sólo necesitan forzar a la aplicación a escribir una sola cadena en el registro. Después de eso podrán cargar su propio código en la aplicación gracias a la función de sustitución de búsqueda de mensajes.
Las pruebas de concepto (PoC) para los ataques a través de CVE-2021-44228 ya están disponibles en Internet. Por lo tanto, no es de extrañar que las empresas de ciberseguridad ya estén registrando escaneos masivos de la red en busca de aplicaciones vulnerables, así como ataques en honeypots.
¿Qué ha ocurrido desde que Log4Shell salió a la luz el pasado jueves?
Casi inmediatamente después de que Zhaojun la descubriera, la empresa de seguridad Greynoise detectó un escaneo activo que intentaba identificar servidores vulnerables. Los investigadores informan de que esta vulnerabilidad crítica y fácil de explotar está siendo utilizada para instalar malware de minería de criptomonedas, reforzar las redes de bots de Linux y filtrar configuraciones, variables de entorno y otros datos potencialmente sensibles de los servidores vulnerables.
¿Qué puede pasar?
En el mejor de los casos, las principales compañías y firmas financieras invertirán enormes sumas de dinero para reforzar sus equipos de TI, y arreglar este desastre durante las vacaciones. Mejor no pensar en el peor de los casos, ya que de ser así esto podría superar la brecha de 2017 de Equifax. En ese caso se comprometieron los datos de 143 millones de consumidores estadounidenses, debido a que esa empresa no pudo corregir una vulnerabilidad igualmente devastadora.
¿Qué se puede hacer?
Esta es una muy mala noticia, con potencial de ser aun peor. Como usuario final, lo único que puedes hacer es exigirle a tus proveedores de servicios acciones para mantener seguros tus datos.
En el caso de los proveedor de serviciois en la nube, lo más efectivo para protegerse ante esta amenaza es actualizar Log4J. No obstante, para las grandes empresas, a menudo no es tan sencillo. Decenas de empresas de seguridad han publicado orientaciones.