¿Qué es y cómo me afecta la vulnerabilidad Log4Shell?
La vulnerabilidad log4Shell se considera muy crítica, ya que muchas aplicaciones lo utilizan e implica muchas acciones por realizar para los responsables de las diferentes organizaciones. Es muy importante evaluar el impacto en cada una de nuestras empresas.
¿Qué es log4j?
Log4j es una librería de Java que se emplea para registrar los eventos del comportamiento de una aplicación, es lo que comúnmente se llama los logs de la aplicación, esta librería se ha usado por múltiples proyectos para el manejo de sus logs.
¿Cuándo se descubrió la vulnerabilidad?
El 24 noviembre del 2021 el grupo de ciberseguridad de Alibaba reportó la vulnerabilidad y fue etiquetada como CVE-2021-44228 por el NIST.
¿En qué consiste la vulnerabilidad?
El atacante construye una cadena de caracteres diseñada para explotar la vulnerabilidad, esta cadena de caracteres se envía a la aplicación que emplea la librería de Java log4j, ya sea por una URL, ingreso de la misma en pantalla o via cualquier método que logre que esta cadena se imprima en el log pudiendo ganar acceso al sistema afectado.
¿Cómo y por qué me afecta?
Al ser una librería ampliamente utilizada tanto en la comunidad de código abierto como en productos comerciales, está presente en productos de muchas compañías por ejemplo: Apple, Tencent, Twitter, Baidu, Steam, Minecraft, Cloudflare, Amazon, Tesla, Palo Alto Networks, IBM, Pulse Secure, Ghidra, ElasticSearch, Apache, Google, Webex, LinkedIn, Cisco y VMware. Hemos creado una lista con los productos afectados por la vulnerabilidad log4shell contiene información que se actualiza constantememte sobre las plataformas afectadas. Esta lista esta basada en el esfuerzo de la comunidad de seguridad y fue concentrado por la agencia de ciberseguridad de Estados Unidos CISA por sus siglas en Inglés
¿Qué debo hacer?
Es de suma importancia que se revise constantemente la lista con los productos afectados por la vulnerabilidad log4shell de los componentes software que se usa la organización y pedirle al fabricante que dé la última versión o el parche relacionado para que se mitigue la vulnerabilidad. En el caso de desarrollos propios es necesario actualizar la versión del log4j. La revisión de la lista no elimina la necesidad de verificar con los proveedores internos o externos si el software es suceptible a la vulnerabilidad lohg4shell
Conclusiones y puntos relevantes
- Existen instalaciones de software empresarial ampliamente utilizado que son vulnerables.
- La vulnerabilidad se puede aprovechar inclusive sin autenticación.
- La vulnerabilidad afecta a múltiples versiones de Log4j 2.
- La vulnerabilidad permite la ejecución remota de código cuando el usuario ejecuta la aplicación que usa la librería.
- La actualización de la versión de Java por sí sola no es suficiente para evitar la explotación de la vulnerabilidad.