Cómo afecta la vulnerabilidad Log4Shell a las empresas

Este mes se ha detectado una importante vulnerabilidad cibernética en una herramienta de registro de código abierto de Apache/Java, denominada Log4j2. Marsh proporciona información acerca de cómo pueden responder las empresas.

La semana pasada se identificó una importante vulnerabilidad en una herramienta de registro de código abierto de Apache/Java, denominada Log4j2. Esta herramienta se utiliza en servidores en la nube y en el software empresarial de todos los sectores. Si no se soluciona, permite el acceso de terceros a las redes internas, con el consiguiente riesgo de pérdida de datos, despliegue de ransomware u otros programas maliciosos, además de la posibilidad de extracción de información.

¿Qué ha ocurrido?

Se detectó un error en una biblioteca de registro de Java de uso común, Apache Log4j. Esta vulnerabilidad puede aprovecharse fácilmente, ya que permite la ejecución remota de código sin autenticación, lo que puede llevar a los actores de la amenaza a controlar totalmente los servidores afectados. Los sistemas y servicios que utilizan ciertas versiones de la herramienta pueden verse afectados por esta vulnerabilidad.

¿Cuál es el impacto?

Las vulnerabilidades, también conocidas como CVE-2021-44228 y CVE 2021-45046, pueden afectar a cualquier dispositivo informático y se estima que ya han afectado a más de 3.000 millones de sistemas en todo el mundo. Los actores de amenazas están analizando esta vulnerabilidad para explotarla al máximo.

Varios Centros Nacionales de Ciberseguridad de Europa han publicado guías para gestionar la vulnerabilidad, que recomendamos consultar. Por ejemplo: 

¿Qué pueden hacer las empresas?

Se recomienda consultar frecuentemente las fuentes mencionadas anteriormente, pero a continuación le indicamos algunas medidas que aconsejamos aplicar inmediatamente:

  1. Use herramientas de escaneo de código abierto para comprobar una lista actualizada de los softwares vulnerables. Puede obtener más información en los enlaces anteriores.
  2. Existen herramientas que determinan si un sistema ha sido comprometido. Puede obtener más información en los enlaces anteriores.
  3. Actualice todas las implementaciones de log4j a la última versión lo antes posible.
  4. Asegúrese de que la tecnología de seguridad de la red está bloqueando los posibles puntos comprometidos relacionados con la vulnerabilidad y que la tecnología EDR (Endpoint Detection Response) está funcionando en todos los servidores. 
  5. Supervise los archivos de registro. Los registros sospechosos podrían representar actividad de escaneo, lo que puede indicar que el sistema ha sido comprometido. 
  6. Apache suele estar integrado en programas de terceros, que solo pueden ser actualizados por sus propietarios. Esto quiere decir que puede estar en peligro si sus proveedores no actúan adecuadamente. Por lo tanto, asegúrese lo antes posible y por escrito de que sus proveedores han gestionado esta vulnerabilidad.
  7. Si su empresa es proveedora de un software afectado, deben comunicarse con los clientes para que puedan minimizar riesgos y actualizar sus sistemas. 

Para el CISO / Equipo de seguridad IT:

Detección de dispositivos y aplicación de parches 

Identifique todos los dispositivos que ejecuten versiones afectadas de Log4j y actualícelos a la última versión lo antes posible.

Si tiene implementaciones de Log4j2 que no pueden ser parcheadas, consulte las recomendaciones de mitigación indicadas por Apache aquí.

Investigue si sus sistemas han sido comprometidos. Si es necesaria una acción de respuesta, asegúrese de conservar pruebas de los sistemas afectados.

Las aseguradoras suelen exigir al tomador del seguro, en el momento de la solicitud, que confirme la rapidez con la que parchea las vulnerabilidades una vez se publican. Si se compromete a un tiempo determinado, puede perder futuras reclamaciones sobre esta vulnerabilidad si no se parchea con suficiente rapidez. 

Prepárese para ataques graves 

Actualmente, se observa que los actores de amenazas están utilizando esta vulnerabilidad para lograr una entrada en los sistemas de TI de las organizaciones y continuar el ataque, por ejemplo, un posible ransomware. Se recomienda realizar copias de seguridad de los datos con frecuencia. Las soluciones EndPoint pueden ser también muy útiles para detectar y hacer frente a las amenazas. Por último, prepárese para aplicar el plan de respuesta a incidentes de su organización.

Para el gestor de riesgos:

Considere si ha sido atacado y si tiene un seguro cibernético para determinar sus próximos pasos.

  • Si su organización se ha visto afectada y tiene un seguro cibernético, debe avisar a su compañía de inmediato. Marsh puede ayudarle.
  • El seguro cibernético suele cubrir los costes de investigación y respuesta a los incidentes cibernéticos. Tras la notificación, el responsable de respuesta a incidentes designado realizará una clasificación inicial. Después, el gestor determinará si los proveedores de respuesta del panel, como los servicios forenses de TI, deben participar.
    Nota: si su compañía no se ha visto afectada, no hace falta contactar con su seguro cibernético.
  • Si su compañía se ha visto afectada, pero no tiene una póliza de seguro cibernético, el equipo de ciberseguridad de Marsh puede orientarle y recomendarle cómo actuar ante el incidente.
  • Si no está seguro de si su compañía ha sido afectada, le aconsejamos que siga los pasos mencionados anteriormente y comunique a su aseguradora la situación para iniciar una posible reclamación. Marsh puede ayudarle en esto.
  • Por último, si está cerca de renovar su seguro cibernético, prepárese para responder a preguntas relativas con esta vulnerabilidad. Marsh le proporcionará más detalles a su debido tiempo.

¿Qué significa esto de cara al futuro?

Los ataques denominados Zero-Day han demostrado la rapidez con la que se pueden cometer delitos en la red. Además, los ciberdelincuentes cada vez son más rápidos desde el momento en que compromenten una red hasta que lanzan el ataque. Este panorama pone de manifiesto la necesidad de una gestión ágil del ciberriesgo. Los asesores de Marsh pueden ayudar a que su organización sea más resiliente y esté mejor preparada ante un ciberataque.

Además, las organizaciones deben aplicar medidas que incluyan soluciones de ciberseguridad, inteligencia de amenazas, parcheo de las vulnerabilidades y copias de seguridad. Por último, dado que el riesgo cibernético no puede erradicarse por completo, es esencial contar con un programa de seguro cibernético bien construido para abordar el riesgo financiero residual.

Marsh puede ayudarle:

El equipo de Cyber de Marsh está a su disposición en cualquier momento para proporcionarle respuestas, servicios y soluciones para gestionar cualquier incidente cibernético, la colocación o revisión de su cobertura cibernética y la planificación de los riesgos cibernéticos. Para obtener más información, contacte con su ejecutivo en Marsh o con un miembro del equipo que aparece a continuación: 

Alan.abreu@marsh.com 
Corporate & Sales Cyber Practice Leader - FINPRO

Nelia.argaz@marsh.com
Cyber Risk Consulting Leader - CE South 

Sofia.garcia-ollauri@marsh.com
Head of FINPRO Claims Advocacy

Javier.llorentegonzalez@marsh.com 
LAC-CE Sales Leader - Claims Solutions 

Sara.munozrubio@marsh.com
Cyber Risk Practice Leader

Related articles