El mundo cibernético viene sufriendo por culpa de una de las vulnerabilidades más críticas de la década. Esto, según estimaciones de diversos expertos calificados alrededor del mundo ya que afecta a millones de ordenadores y aplicaciones, permitiendo a un atacante remoto tomar el control de cualquier dispositivo siempre y cuando sea ejecutado por Log4j. No obstante, puede que surja la duda: ¿Qué es exactamente Log4 Shell? Conócelo y no corras riesgos en tus instalaciones.
¿Qué es Log4 Shell?
Como se mencionó, el problema viene ligado a Log4j, el cual es un organizador de código abierto propiedad de Apache Software Foundation. Miles integran esta herramienta en sus programas para que puedan monitorear actividades, ya que tiene funciones incorporadas que permiten un trabajo más rápido. Esta vulnerabilidad catalogada como CVE-2021-44228 permite que ciberatacantes puedan tener un control masivo de dispositivos en internet.
Desde que se descubrió los peligros a los que los usuarios pueden estar expuestos, Apache lanzó parches a lo largo del mes de diciembre del 2021. Sin embargo, no se ha podido solucionar el problema en su totalidad, dejando parte de ella sin arreglar, pero con esperanzas de solución. Se calcula que Java cuenta con millones de usuarios alrededor del mundo, de los cuales la mayoría utilizan Log4j. Entonces, ¿Qué tan peligroso es? ¿Estás indefenso ante esta amenaza?
¿Por qué es tan peligrosa?
La Apache Software Foundation indicó con una puntuación CVSS de 10 sobre 10 a este problema, siendo muy alta debido a su potencial explotación y a la rapidez con la que los agresores puedan aprovecharla. La SVSS (Common Vulnerability Scoring System) es un sistema de puntuación que ayuda a estimar el impacto de una vulnerabilidad. Cuenta con grupos que conforman un conjunto de métricas, lo cual no da una visión del peligro que se corre si la información cae en manos equivocadas.
El principal problema que la convierte en la peor de la década, pues los asaltantes cuentan con la posibilidad de introducir comandos en sistemas que les permitirán descargar virus de secuestro informático, lo que afectará a los servidores relacionados a una red, robando datos o espiando acciones diarias. Esto puede generar actividades muy perjudiciales, ofreciendo a los intrusos tomar control del sistema objetivo y brindar contenido malicioso a los usuarios que tienen comunicación con el servidor afectado.
Tema relacionado: ¿Cómo funciona el exploit Log4 Shell?
¿A quiénes afecta?
Los analistas indican que se emplea la vulnerabilidad en todo tipo de sistemas como en los routers o aplicaciones móviles que son puertas abiertas para la obtención de cuentas de bancos. Aunque se están llevando a cabo listas de proveedores para saber la magnitud de alcance, actualmente las cifras son solo especulaciones. Según Radware, el software que permite utilizar la sustitución de búsqueda de mensajes de log4j está afectado. E indica que en la versión de 2.15.0 en adelante, la búsqueda está desactivada por defecto, y es necesario aplicar un parche.
Microsoft informó que la mayoría de ataques están relacionados con escaneos masivos, los cuales intentan identificar sistemas vulnerables, y a empresas de seguridad e investigación. Además, aconsejó a las empresas comenzar a evaluar hasta qué punto sus entornos se encuentran expuestos Log4 Shell. Las versiones 2.0-beta9 a 2.14.1 de Log4j se encuentran dañadas y deberían ser cubiertas todas las instancias afectadas hasta la última actualización disponible que se encuentra en la versión log4j2 2.15.0.
¿Cómo detectarla?
Uno de los pasos más sencillos para detectar si tu ordenador se encuentra expuesto al peligro es reconocer en qué versión se encuentra. Además, existen pasos que se pueden ejecutar para comprobar cualquier peligro, así como escáneres que actúan como buscadores de vulnerabilidad Log4 Shell. Asimismo, se pueden verificar puntos activando consultas de DNS (Domain Name Service), por lo que si se usa la dirección de una herramienta de registro de DNS, podemos verificar la activación de inseguridad.
Recomendaciones
Según Sophos news en su blog de recomendaciones de mitigación y respuesta, lo primero que se debería realizar es identificar si hay algún intruso dentro de cualquier sistema, para luego utilizar los parches ejecutados por Log4j. Claro, también se debe realizar el cambio a las últimas versiones, y aplicar los bloqueos a los puertos estándar para LDAP, LDAPS y RMI. Y en tal caso, si no puedes realizar la actualización en tu ordenador, puedes eliminar la clase JndiLookup desde el classpath.
¿Qué deben hacer los equipos de seguridad informática?
Se tendrá que esperar que entidades puedan tener una solución al 100%, aunque se espera que grandes organizaciones inviertan en recursos necesarios para neutralizar la amenaza a corto plazo y que pueda eliminarse todo el riesgo asociado a Log4 Shell. No obstante, se tiene que tener en claro que la espera puede alargarse a meses, hasta que haya una solución clara. Y probablemente, las empresas pequeñas sufran más las consecuencias quedando a la deriva y a manos de “criminales”.
A meses desde su descubrimiento múltiples gobiernos como Rusia, Turquía, China y Corea del Norte, han lanzado alertas para evitar su capacidad de propagación y detener sus peligros. Ya que se calcula que han intentado atacar la mitad de las redes corporativas del mundo. Se espera la pronta recuperación de las plataformas dañadas hasta el momento y lograr erradicar el impacto global que está teniendo esta “ciber pandemia”, catalogada así por sus daños en la red a nivel mundial y por la preocupación que trae consigo.