
¡Cuidado con la vulnerabilidad de Log4j! Este desagradable error de software tiene a gran parte del mundo de TI en pánico mientras nos sigue hasta el Año Nuevo.
Sin duda, muchas organizaciones y PYMES sin personal de TI no tienen ni idea de su existencia. Pero el desconocimiento de Log4j solo los hace más susceptibles a un ataque. Permanecen indefensos.
Log4j es una sección de código muy común que ayuda a las aplicaciones de software a realizar un seguimiento de sus actividades pasadas. Los escritores de códigos confían en este código recurrente en lugar de reinventar la rueda del software creando más programas de registro o mantenimiento de registros para duplicar las mismas funciones.
A principios de este mes, los expertos en ciberseguridad descubrieron que al pedirle a Log4j que registre una línea de código malicioso, Log4j ejecuta ese código en el proceso. Esto da acceso a los malos actores a los servidores de control que ejecutan Log4j.
Esa revelación puso a casi todas las principales empresas de software en modo de crisis. Buscaron sus productos para ver si la vulnerabilidad de Log4j los afectaba y, de ser así, cómo podían parchear el agujero.
Esta vulnerabilidad es un gran problema. Log4j ha existido durante casi una década, señaló Theresa Payton, ex directora de información de la Casa Blanca y directora ejecutiva de la consultora de seguridad cibernética Fortalice Solutions.
“Piense en ello como su biblioteca de todas las cosas registrables. Les decimos a las organizaciones [to] registrarlo todo [as] es posible que lo necesite para el análisis forense más tarde. Por lo tanto, los desarrolladores de Java suelen usar Log4J cuando quieren registrar que una persona inició sesión e incluso pueden usarlo para rastrear el acceso a las aplicaciones”, dijo Payton a TechNewsWorld.
Es posible que muchas empresas ni siquiera sepan si han usado Log4j, lo que hace que conocer el alcance del problema sea aún más difícil. Para que puedan averiguarlo, necesitarían un ingeniero de software que revise los diversos sistemas para buscar el uso y luego ver las versiones, agregó.
«Puede ser un proceso que consume mucho tiempo», señaló Payton, «y el tiempo es algo que no tienes cuando estás compitiendo contra el reloj contra los malos que buscan explotar estas vulnerabilidades».
Puerta trasera para hackers
Piense en una cerradura de puerta utilizada en una variedad de instalaciones de hardware de seguridad en millones de ubicaciones en todo el mundo. Algunas de las cerraduras de las puertas tienen la misma falla en una pequeña rueda dentada que permite que casi cualquier llave abra la cerradura.
Cambiar su propia cerradura es una solución fácil si conoce la falla potencial y tiene las herramientas para hacer el trabajo de reemplazo. Hacer eso en todo el mundo es una tarea insuperable. Ese concepto es lo que hace que la debacle de Log4j sea tan amenazante.
Log4j es parte del lenguaje de programación Java utilizado para escribir software desde mediados de la década de 1990. El software que ejecuta el código Log4j impulsa las aplicaciones empresariales y de consumo en todas partes.
Las empresas de almacenamiento en la nube que proporcionan la columna vertebral digital para millones de otras aplicaciones también se ven afectadas. Los principales vendedores de software de programas utilizados en millones de dispositivos también están involucrados.
Por lo general, cuando se encuentra una vulnerabilidad de seguridad, el director de seguridad de la información (CISO) se encarga de actualizar y parchear los sistemas o implementar mitigaciones manuales, explicó Payton. Log4j es más insidioso y oculto y no está totalmente bajo el control del CISO.
“Cazar y encontrar esta vulnerabilidad requiere de todos los programadores. ¿Dónde ocurre el desarrollo hoy en día? ¡En todas partes! Los desarrolladores pueden ser personal interno, desarrollo subcontratado, desarrollo en el extranjero y proveedores externos”, observó.
Todo eso equivale a una oportunidad de ataque inagotable para los piratas informáticos. Por supuesto, no todos serán pirateados, al menos no de inmediato. La gran pregunta clave es averiguar si su equipo está cargado con el código problemático. El solo hecho de enterarse es sobrecargar a los departamentos de TI y a los ingenieros de software.
“Las implicaciones de la explotación de esta vulnerabilidad son el tema de mis pesadillas. Un pirata informático poco ético con conocimiento y acceso podría usar esta vulnerabilidad y apuntar a los servidores que usan esta capacidad de registro con ejecución remota de código en los servidores”, advirtió Payton.
Ampliación de los vectores de ataque
Los piratas informáticos ahora son plenamente conscientes de la vulnerabilidad de Log4j. Los cazadores de ciberseguridad están viendo numerosos casos en los que los malos están ampliando lo que pueden hacer con sus ataques.
El equipo de investigación de Blumira descubrió recientemente un vector de ataque alternativo en la vulnerabilidad Log4j que se basa en una conexión Javascript WebSocket básica para activar la vulnerabilidad de ejecución remota de código (RCE) localmente a través de un compromiso no autorizado. Ese descubrimiento empeora la situación de vulnerabilidad.
Una de las primeras suposiciones de los expertos en ciberseguridad fue que el impacto de Log4j se limitaba a los servidores vulnerables expuestos. Este vector de ataque recientemente descubierto significa que cualquier persona con una versión vulnerable de Log4j puede ser explotada a través de la ruta de un servidor de escucha en su máquina o red local al navegar a un sitio web y desencadenar la vulnerabilidad.
WebSockets se ha utilizado anteriormente para escanear puertos en sistemas internos, pero esto representa uno de los primeros exploits de ejecución remota de código transmitidos por WebSockets, ofreció Jake Williams, cofundador y CTO de la firma de respuesta a incidentes BreachQuest.
“Sin embargo, esto no debería cambiar la posición de nadie sobre la gestión de vulnerabilidades. Las organizaciones deberían presionar para parchear rápidamente y mitigar evitando las conexiones salientes de servicios potencialmente vulnerables donde el parcheo no es una opción”, dijo a TechNewsWorld.
Si bien es importante, los atacantes probablemente preferirán el exploit remoto frente al local, agregó John Bambenek, principal cazador de amenazas de la empresa de operaciones de seguridad y TI digital Netenrich. Dicho esto, esta noticia significa que confiar en WAF u otras defensas de la red ya no es una mitigación efectiva.
“La aplicación de parches sigue siendo el paso más importante que puede tomar una organización”, dijo a TechNewsWorld.
Vulnerabilidad de Log4Shell
La vulnerabilidad Log4j, denominada Log4Shell, ya proporciona una ruta de explotación relativamente fácil para los actores de amenazas, señaló el informe de Blumira. No requiere autenticación para tomar el control total de los servidores web.
Con esta vulnerabilidad, los atacantes pueden llamar a bibliotecas Java externas a través de ${jdni:ldap:// y ${jndi:ldaps:// y soltar shells para implementar el ataque RCE sin esfuerzo adicional. Este nuevo vector de ataque amplía aún más la superficie de ataque de Log4j y puede afectar a los servicios incluso que se ejecutan como localhost que no estaban expuestos a ninguna red, según Blumira.
“Cuando se lanzó la vulnerabilidad de Log4j, rápidamente se hizo evidente que tenía el potencial de convertirse en un problema mayor. Este vector de ataque abre una variedad de posibles casos de uso malicioso, desde malvertisting hasta crear pozos de agua para ataques desde el automóvil”, dijo Matthew Warner, CTO y cofundador de Blumira.
“Sacar a la luz esta información garantiza que las organizaciones tengan la oportunidad de actuar rápidamente y protegerse contra los actores de amenazas maliciosos”, agregó.
Log4j vinculado a Dridex, Meterpreter
La rama de la vulnerabilidad Log4j, Log4Shell, es otra ruta de infección que los investigadores descubrieron recientemente al instalar el notorio troyano bancario Dridex o Meterpreter en dispositivos vulnerables, según un informe de Bleeping Computer.
El malware Dridex es un troyano bancario desarrollado por primera vez para robar credenciales bancarias en línea. Evolucionó hasta convertirse en un cargador que descarga varios módulos para realizar tareas como instalar cargas útiles adicionales, propagarse a otros dispositivos y tomar capturas de pantalla.
Principalmente utilizado para ejecutar comandos de Windows, si Dridex aterriza en una máquina que no es Windows, en su lugar descarga y ejecuta un script de Python para Linux/Unix para instalar Meterpreter.
Meterpreter, una carga útil de ataque de Metasploit, se implementa mediante la inyección de DLL en memoria que reside en la memoria y no escribe nada en el disco. Proporciona un shell interactivo que un atacante usa para explorar la máquina de destino y ejecutar el código.
Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., dijo en presentaciones recientes en los medios que la vulnerabilidad Log4j es la vulnerabilidad más grave que ha visto en su carrera de décadas. Los expertos en seguridad cibernética advierten que la vulnerabilidad de Log4j es el agujero de software más grande que existe en términos de la cantidad de servicios, sitios y dispositivos expuestos.