Log4j: un nuevo agujero de ciberseguridad pone en serio riesgo a millones de empresas

Cientos de millones de dispositivos en todo el mundo podrían estar expuestos a una nueva vulnerabilidad de software, según ha alertado Jay Gazlay, directora de la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE UU (CISA, por sus siglas en inglés) a los ejecutivos de las principales industrias de este país. “Es una de las [vulnerabilidades] más graves que he visto en toda mi carrera, si no la más grave”, añadió. A la advertencia se han sumado organismos públicos de ciberseguridad, como El Instituto Nacional de Ciberseguridad de España (Incibe) y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, y empresas de seguridad como Sophos, Trend Micro y Check Point.

La vulnerabilidad está en Apache Log4j, un sistema de registros ampliamente utilizado por los desarrolladores de aplicaciones web y servidores basados en Java, “lo que está poniendo en riesgo a un número incalculable de empresas a posibles ciberataques de código remoto y la exposición de su información”. El fallo en sí mismo ha sido calificado con un índice de peligrosidad 10 sobre 10 en el sistema de puntuación CVSS estándar de la industria. “Eso es lo peor que puede pasar”, dice Trend Micro.

Check Point insiste en que Apache Log4j es la biblioteca de registro Java más popular, con más de 400.000 descargas en su proyecto GitHub. Esta compañía coincide con Trend Micro en que explotar esta vulnerabilidad, bautizada como Log4Shell, es "sencillo" y permite a los ciberdelincuentes controlar servidores web basados en Java y lanzar ataques de ejecución remota de código. Por ello, añaden, es fundamental tener en cuenta que la biblioteca es utilizada por millones millones de aplicaciones Java, desde apps corporativas poco conocidas hasta software y organizaciones como Twitter, Amazon, Microsoft, iCloud, Cloudflare, Red Hat, IBM, Steam, Tesla, Cisco o Minecraft. El problema ya ha afectado a servidores de Minecraft, que han sido hackeados con un sencillo mensaje en el chat de la partida, según The Verge.

Shopos está observando un rápido aumento de los ataques que explotan o intentan explotar esta vulnerabilidad, denominada Log4Shell, con cientos de miles de intentos detectados. Según esta compañía, las redes de bots de criptomonedas están siendo las primeras en explotar este fallo, pues estas redes se centran en plataformas de servidores Linux, “que están muy expuestas a esta vulnerabilidad”. Pero Sophos también ha detectado intentos para extraer información de diversos servicios, entre los que se incluyen claves de Amazon Web Services y otros datos privados. Y asegura que espera que los atacantes intensifiquen y diversifiquen sus métodos de ataque y sus motivaciones en las próximos días y semanas, sin descartar la posibilidad de que aprovechen ataques de ransomware.

Check Point advierte que ha visto intentos de explotar esta vulnerabilidad en más del 40% de las redes corporativas del mundo. Aún se desconoce cuántos de estos intentos de ataque tienen éxito.  Brian Fox, de la compañía de seguridad Sonatype, asegura que la facilidad con la que los hackers pueden explotar este agujero es "similar a alguien que se da cuenta de que enviar una carta por corre a su buzón de correos, con una dirección específica escrita en el, les permite abrir todas sus puertas en su casa", informa la BBC.

Según CISA, las organizaciones deben encontrar con urgencia dónde se está ejecutando Log4j en su entorno, aplicar parches inmediatamente actualizando a la versión 2.15.0 de Log4j o aplicar las mitigaciones del proveedor, enumerar todos los dispositivos de cara al exterior con Log5j instalado, asegurarse de que los equipos de operaciones de seguridad actúen sobre todas las alertas relacionadas con el popular sistema de registro e instalar un firewall app web con reglas que se actualicen automáticamente, para reducir la carga de alertas en los equipos de operaciones de seguridad.

Sean Gallagher, investigador senior de amenazas de Sophos, subraya que este agujero de seguridad presenta un desafío nunca visto para los defensores. "Muchas vulnerabilidades de software se limitan a un producto o plataforma específica, como las vulnerabilidades ProxyLogon y ProxyShell en Microsoft Exchange. Esto permite a los responsables de seguridad comprobar sus software y parchearlos una vez que han detectado cuál ha sufrido la vulnerabilidad. Sin embargo, Log4Shell es una biblioteca que utilizan muchos productos. Por lo tanto, puede estar presente en los rincones más oscuros de la infraestructura de una empresa, por ejemplo, en cualquier software desarrollado internamente".

Este experto recomienda a las empresas también hacer una revisión exhaustiva de la actividad en la red para detectar y eliminar cualquier rastro de intrusos, "incluso si solo parece un incómodo commodity malware", dice.

Han sido investigadores de la compañía china Alibaba quienes descubrieron el pasado mes el agujero de seguridad. Antes de que la vulnerabilidad se hiciera pública, la Apache Software Foundation, que supervisa el código Log4j, publicó una solución al problema.

Afortunadamente, como apuntan los expertos, existe parche para corregir el fallo, pero Lotem Finkelstein, director de inteligencia de inteligencia de amenazas e investigación de Check Point, urge a reaccionar rápido, porque la vulnerabilidad se ha descubierto en el período previo a la temporada de vacaciones "cuando los técnicos pueden ser más lentos en la aplicación de medidas de protección".

Según el directivo, su compañía empezó a aplicar su protección el pasado viernes y el domingo ya habían evitado más de 400.000 intentos de explotar la vulnerabilidad en más de un tercio de todas las redes corporativas del mundo. "Y lo más preocupante es el hecho de que casi la mitad de esos intentos fueron realizados por grupos maliciosos conocidos".

Empresas de ciberseguridad estadounidense como Mandiant y Crowdstrike también han señalado que han encontrado grupos sofisticados que están aprovechando el fallo para violar los sistemas. Y el director de tecnología de Cloudflare, John Graham-Cumming, asegura que "esta es la tercera vulnerabilidad realmente grave que afecta a una amplia gama de servicios de internet Heartbleed en 2012, ShellShock en 2014 y Log4Shell en 2021". Pese a todo, hasta ahora, no se ha relacionado ningún ataque importante con esta vulneración.