Log4Shell, vulnerabilidad crítica que aún pone en riesgo a 7 de cada 10 empresas

A pesar de haber sido identificada hace poco más de un año, la vulnerabilidad Log4Shell, que el sector de ciberseguridad ha llegado a identificar como una de las amenazas informáticas más peligrosas de la década, aún representa un riesgo para cerca de siete de cada 10 empresas, según un estudio publicado por la firma de gestión de riesgos Tenable.

Log4Shell fue descubierta dentro de la popular herramienta web Log4j, una biblioteca de código abierto desarrollada en Java por la Apache Software Foundation que permite a los desarrolladores de software escribir mensajes de registro. La alerta fue presentada el 24 de noviembre de 2021 por el equipo de ciberseguridad del gigante chino Alibaba y recibió una escala 10 de 10 en el estándar Common Vulnerability Scoring System (CVSS).

Esta vulnerabilidad permitiría potencialmente a un cibercriminal introducir código a un equipo de forma remota, que podría utilizarse para múltiples propósitos, desde ransomware hasta virus informáticos.

De acuerdo con el estudio presentado por Tenable, basado en 500 millones de pruebas realizadas el pasado octubre, 72 por ciento de las organizaciones sigue siendo vulnerable, al considerar la complejidad del reto para lograr una remediación completa de los activos. Según la compañía de seguridad, apenas 28 por ciento de las organizaciones de todo el mundo han remediado Log4Shell por completo, una mejora de 14 puntos desde mayo de 2022.

El informe encontró también una mejora en la participación de activos vulnerables, que pasó desde un 10 por ciento en diciembre de 2021 a un 2.5 por ciento en octubre de 2022. Entre estos activos se incluyen equipos como una amplia gama de servidores, aplicaciones web, contenedores y dispositivos para Internet de las Cosas (IoT).

Sin embargo, Tenable también advierte que casi un tercio (29%) de estos activos tuvieron recurrencias de Log4Shell después de haberse logrado la remediación completa.

“La remediación completa es muy difícil de lograr para una vulnerabilidad que es tan generalizada y es importante tener en cuenta que la remediación de vulnerabilidades no es un proceso de ‘una vez y listo’. Erradicar Log4Shell es una batalla continua que requiere que las organizaciones evalúen continuamente sus entornos en busca de fallas, así como otras vulnerabilidades conocidas”, dijo Bob Huber, director de seguridad de Tenable, en un comunicado.

Entre los segmentos donde se han encontrado los mayores avances hacia la remediación de esta vulnerabilidad se encuentran las organizaciones de ingeniería (45%), servicios legales (38%), servicios financieros (35%), organizaciones sin fines de lucro (33%) y gobierno (30%). Aproximadamente 28 por ciento de las organizaciones de infraestructura crítica definidas por CISA se han remediado por completo.

En cuanto a la región, el estudio de Tenable señala que casi un tercio de las organizaciones de América del Norte han remediado completamente Log4j, seguido de Europa, Medio Oriente y África (27%), Asia-Pacífico (25%) y América Latina (21%).