Log4j, una vulnerabilidad crítica del paquete de registro de Java, se puede encontrar en productos de CyberArk, ForgeRock, Okta, Ping Identity, Fortinet, SonicWall y Sophos.
Las empresas de ciberseguridad con versiones afectadas del código Log4j han trabajado arduamente desde el viernes para desarrollar soluciones, parches y versiones actualizadas de sus productos.
Esto con el objetivo de eliminar el riesgo de explotación.
Pero las soluciones permanentes o incluso temporales siguen siendo difíciles de alcanzar para muchos de los productos vulnerables.
El código vulnerable se puede encontrar en productos de importantes proveedores de gestión de acceso e identidad como CyberArk, ForgeRock, Okta y Ping Identity.
Lo mismo que en los productos de empresas de seguridad como Fortinet, SonicWall y Sophos, que atienden a pequeñas y medianas empresas a través de socios de negocio.
Etek International alertó sobre la vulnerabilidad de ejecución remota de código.
A través de ella, los atacantes pueden explotar el paquete Java que utilizan:
- Muchas aplicaciones, desde Twitter hasta iCloud en diversos sistemas operativos;
- Aplicaciones que utilizan entornos como Windows, Linux, macOS y FreeBSD.
- Java alimenta cámaras web, reproductores de DVD, sistemas de navegación para automóviles, decodificadores de TV
- Incluso una gama de parquímetros y dispositivos médicos.
¿De qué se trata?
Conocida con el nombre código ‘Log4j’ o ‘Log4Shell’, esta vulnerabilidad ha sido clasificada por National Vulnerability Database como ‘Crítica’ con una puntuación de 10 -en una escala de 1 a 10-.
Permite ejecutar código de forma remota con privilegios de nivel de sistema y también filtración de información confidencial.
Log4j es una biblioteca de código abierto escrita en Java que hace parte de Apache Logging Services.
Debido a que la versión original de Java Development Kit (JDK) no incluía una API de registro, muchas organizaciones decidieron utilizar las bibliotecas de registro de Java, incluyendo a Log4j.
Es así como la biblioteca Log4j ganó amplia popularidad.
Actualmente es utilizada por entornos de trabajo tales como Elasticsearch, Kafka y Flink.
Los cuales son fundamentales para muchos sitios web y otros servicios populares.
Una vez se explota esta vulnerabilidad, los atacantes pueden ejecutar código malicioso en la máquina, entregándole el control completo.
Así las cosas, cualquier dispositivo explotado debe ser considerado como comprometido, al igual que los demás dispositivos de confianza en el dispositivo comprometido.
Mitigación y remediación
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó recomendaciones adicionales a seguir con respecto a esta vulnerabilidad.
- Para enfrentar el problema, Etek recomienda realizar un inventario de equipos internos y externos que tengan instalado Log4j.
- Una vez identificados los equipos, se recomienda parchear de inmediato la amplia gama de productos que utilizan este software y actualizarse a la versión 2.15.0 de Log4j.
- También vale la pena asegurar que los usuarios finales estén conscientes del riesgo y conozcan que tales productos contienen esta vulnerabilidad para priorizar las actualizaciones de software.
- Acto seguido conviene instalar un Firewall de Aplicaciones Web (WAF, Web Application Firewall) con reglas que se actualizan automáticamente.
Esto ayudará al Centro de Operaciones de Seguridad (SOC) a concentrarse en menos alertas.