Vulnerabilidad en Log4j, alerta de seguridad

Esta vulnerabilidad podría permitirle a un atacante tomar el control del servidor afectado e incluso entrar a los sistemas de la organización desde el exterior, si la debilidad está expuesta a Internet. ¿Cómo puede proteger a su organización?

anonymous person in the hood sitting in front of computer working with laptop and mobile phone

Hace unos días fue publicada una vulnerabilidad crítica que afecta a una librería llamada Log4j,  la cual es utilizada por productos muy populares a nivel global, por lo cual muchas organizaciones pueden estar expuestas. Esta vulnerabilidad podría permitirle a un atacante tomar el control del servidor afectado, e incluso ganar acceso a los sistemas de la organización desde el exterior si la debilidad está expuesta a internet. Aparentemente ya se han detectado intentos de ataque que aprovechan esta vulnerabilidad y se espera que estos sigan aumentando. 

¿En qué consiste?

Esta vulnerabilidad es considerada de severidad crítica y podría permitir la ejecución de comandos de manera remota en la librería JNDI existente en la suite de desarrollo JDK 1.8.0.191.

La vulnerabilidad denominada Log4Shell o LogJam, ocurre debido a que la función “log4j2.formatMsgNoLookups” existente en la librería JNDI de Java, no realiza un correcto control del valor cargado. Un atacante podría enviar una petición especialmente diseñada para tomar el control del servidor afectado con permisos de system.

Log4j es una utilidad de registro de código abierto basada en Java que se utiliza como un paquete de logging en una gran variedad de aplicaciones empresariales y servicios en la nube como Horizon, Apache Tomcat, Atlassian Confluence, Red Hat OpenShift, Apple iCloud, Cisco, Twitter, ElasticSearch, o cualquier aplicación que utilice esta librería de código abierto en las versiones Log4j 2.0-beta9 hasta la 2.14.1.

¿Qué debo hacer en este momento?

Actualizar Log4j de Apache a la versión 2.15.0 o superior a la mayor brevedad posible.

Para las versiones anteriores a la 2.10, puede mitigarse estableciendo la propiedad del sistema log4j2.formatMsgNoLookups = true

La firma israelí de ciberseguridad Cybereason también ha lanzado una solución llamada «Logout4Shell» que corrige la deficiencia utilizando la propia vulnerabilidad para reconfigurar el registrador y evitar una mayor explotación del ataque.

En caso de no conocer si cuenta con este producto, se recomienda ejecutar un escaneo de vulnerabilidades para detectar la debilidad de manera oportuna.

Toda solución debe aplicarse siguiendo adecuados controles de cambio para evitar la afectación de los servicios de la organización.

¿Qué debo hacer a futuro?

Debido a que este tipo de vulnerabilidades seguirán apareciendo, es importante que se definan procesos de gestión de vulnerabilidades robustos y protocolos para aplicar las soluciones en tiempos adecuados para reducir la posibilidad de ser víctima de un ataque.

¿Cómo me puede ayudar Marsh?

A través de consultores expertos en ciberseguridad, Marsh puede apoyar a su organización con la detección de debilidades en los sistemas de su compañía, a definir estrategias para su resolución y, en caso de sufrir un incidente, a apoyarlo en su resolución.

Referencias

https://logging.apache.org/log4j/2.x/security.html

https://blog.qualys.com/vulnerabilities-threat-research/2021/12/10/apache-log4j2-zero-day-exploited-in-the-wild-log4shell

https://github.com/NCSC-NL/log4shell/tree/main/software

https://www.cert.govt.nz/it-specialists/advisories/log4j-rce-0-day-actively-exploited/

Si es nuestro cliente, contacte con su ejecutivo de Marsh. Si no, contáctenos para hablar con uno de nuestros especialistas en ciberseguridad.