viernes, 17 de diciembre de 2021

#log4jvulnerability día cero para la muerte

 

log4j 0 days to death

Como ya es de saber por prácticamente toda la comunidad en Internet y mas específicamente aficionados a la tecnología se descubrió una vulnerabilidad bastante grave sobre esta librería en java de la Apache Software Foundation aunque lo primero que se debe conocer es ¿Qué es esta librería y para que es usada? y lo podemos conocer gracias a la siguiente cita de wikipedia:

Log4j es una biblioteca de código abierto desarrollada en Java por la Apache Software Foundation que permite a los desarrolladores de software escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución. Log4j permite filtrar los mensajes en función de su importancia. La configuración de salida y granularidad de los mensajes es realizada en tiempo de ejecución mediante el uso de archivos de configuración externos. Log4J ha sido implementado en otros lenguajes como: C, C++, C#, Perl, Python, Ruby y Eiffel. Fuente: Wikipedia.

Teniendo ya una mejor idea continuamos con la siguiente interrogante ¿Quien descubre esta vulnerabilidad tan grave?.

Esta vulnerabilidad tan grave fue descubierta por el equipo de Alibaba Cloud en noviembre del presente año 2021, aunque ya la misma ha sido subsanada por el equipo desarrollo de Apache Software Foundation mediante una actualización que parchea esta vulnerabilidad.

Pero todo no quedó allí a pesar de la actualización Sin embargo, el viernes pasado se publicó un exploit para Log4Shell que permite a un atacante ejecutar el código de su elección en un servidor afectado.

En otras palabras, el código malicioso puede ser ejecutado desde cualquier sitio, y lo que empeora la situación es que se están descubriendo variantes de esta vulnerabilidad que se pueden aprovechar y afectan todos los sitios web que utilicen log4j.

De momento los hackers sombrero negro, que se están aprovechando de esta vulnerabilidad la están usando en primer lugar para minería de criptomonedas aprovechando los recursos de hardware de servidores y en segundo lugar para crear botnets para ataques DDoS y otros tipos de ataques aun más sofisticados aprovechando de los recursos de hardware de estas botnets.

Un gran problema que pueda durar años.

Lamentablemente debido a la complejidad para el parcheado de esta vulnerabilidad es posible que le misma perdure por años si las instituciones privadas y publicas no dan prioridad a la sulición inmediata de esta vulnerabilidad.

Una vulnerabilidad con calificación record.

Al ser una de las vulnerabilidades más criticas y graves entre las descubiertas en los últimos años, ESET calificó esta vulnerabilidad con un puntaje de 10 sobre 10 en la escala de CVSS (Common Vulnerability Scoring System)

¿Qué medidas se puede tomar para subsanar este problema si utilizo esta librería en mis servicios ofrecidos?.

De momento actualizar dicha librería a su ultima versión e implementar políticas de seguridad más estricta además de respaldos más recurrentes y un constante monitorio de los servicios ofrecidos bajo el uso de esta librería y estar constantemente informándose de posible salida de parches de seguridad para subsanar esta vulnerabilidad.

Otra opción si se tiene un servicio en línea sobre y no es crucial para la operación tomar la medida de cerrar el servicio temporalmente e implementar otras opciones más seguras al respecto siempre realizando un correcto análisis de seguridad al respecto antes de implementar otra solución.


Si te gusto esta publicación no dudes en realizar un donativo del menú "Ayúdame" esto me ayudará a seguir dedicándole tiempo al blog.


Fuentes:

https://www.alibabacloud.com/es/notice/log4j2

https://www.infobae.com/america/tecno/2021/12/15/nueva-vulnerabilidad-en-log4j-esta-alarmando-al-mundo-entero-podria-afectar-a-minecraft-twitter-y-mas/

https://support.eset.com/es/alert8188-informacion-acerca-de-la-vulnerabilidad-log4j2

https://www.dw.com/es/log4j-la-vulnerabilidad-que-amenaza-la-ciberseguridad-en-todo-el-mundo/a-60119154

No hay comentarios:

Publicar un comentario