A pesar de haber sido identificada hace poco más de un año, la vulnerabilidad Log4Shell, que el sector de ciberseguridad ha llegado a identificar como una de las amenazas informáticas más peligrosas de la década, aún representa un riesgo para cerca de siete de cada 10 empresas, según un estudio publicado por la firma de gestión de riesgos Tenable.

Log4Shell fue descubierta dentro de la popular herramienta web Log4j, una biblioteca de código abierto desarrollada en Java por la Apache Software Foundation que permite a los desarrolladores de software escribir mensajes de registro. La alerta fue presentada el 24 de noviembre de 2021 por el equipo de ciberseguridad del gigante chino Alibaba y recibió una escala 10 de 10 en el estándar Common Vulnerability Scoring System (CVSS).

Esta vulnerabilidad permitiría potencialmente a un cibercriminal introducir código a un equipo de forma remota, que podría utilizarse para múltiples propósitos, desde ransomware hasta virus informáticos.

De acuerdo con el estudio presentado por Tenable, basado en 500 millones de pruebas realizadas el pasado octubre, 72 por ciento de las organizaciones sigue siendo vulnerable, al considerar la complejidad del reto para lograr una remediación completa de los activos. Según la compañía de seguridad, apenas 28 por ciento de las organizaciones de todo el mundo han remediado Log4Shell por completo, una mejora de 14 puntos desde mayo de 2022.

El informe encontró también una mejora en la participación de activos vulnerables, que pasó desde un 10 por ciento en diciembre de 2021 a un 2.5 por ciento en octubre de 2022. Entre estos activos se incluyen equipos como una amplia gama de servidores, aplicaciones web, contenedores y dispositivos para Internet de las Cosas (IoT).

Sin embargo, Tenable también advierte que casi un tercio (29%) de estos activos tuvieron recurrencias de Log4Shell después de haberse logrado la remediación completa.

“La remediación completa es muy difícil de lograr para una vulnerabilidad que es tan generalizada y es importante tener en cuenta que la remediación de vulnerabilidades no es un proceso de ‘una vez y listo’. Erradicar Log4Shell es una batalla continua que requiere que las organizaciones evalúen continuamente sus entornos en busca de fallas, así como otras vulnerabilidades conocidas”, dijo Bob Huber, director de seguridad de Tenable, en un comunicado.

Entre los segmentos donde se han encontrado los mayores avances hacia la remediación de esta vulnerabilidad se encuentran las organizaciones de ingeniería (45%), servicios legales (38%), servicios financieros (35%), organizaciones sin fines de lucro (33%) y gobierno (30%). Aproximadamente 28 por ciento de las organizaciones de infraestructura crítica definidas por CISA se han remediado por completo.

En cuanto a la región, el estudio de Tenable señala que casi un tercio de las organizaciones de América del Norte han remediado completamente Log4j, seguido de Europa, Medio Oriente y África (27%), Asia-Pacífico (25%) y América Latina (21%).

Reforma Ailyn Ríos

Uno de cada 10 dispositivos escaneados por la empresa de ciberseguridad Tenable han sido vulnerados por algún ataque relacionado con la falla en Log4Shell.

Con la vulnerabilidad Log4Shell, una de las más críticas en la historia de la biblioteca de código abierto Apache Log4j, los ciberatacantes pueden perpetrar ataques como ransomware, usado para secuestrar información; criptominería, que aprovecha las capacidades de los equipos para minar criptomonedas, y denegación de servicio, que deja inhabilitados sitios web u otros programas.

Cada segundo Tenable escanea mil 400 activos en busca de la vulnerabilidad Log4Shell, y encontró que uno de cada 10 equipos tiene una vulnerabilidad relacionada con Log4Shell.

Además, 75 por ciento de las 300 mil empresas a nivel mundial, que son escaneadas por la firma, tiene archivos vulnerables.

“Esta vulnerabilidad manda una escritura que permite ejecutar código remoto, además se puede mandar a otros dispositivos”, dijo Omar Alcalá, ingeniero de Ventas para Latinoamérica de Tenable.

Log4Shell se descubrió en Minecraft y desde entonces se ha explotado activamente con impacto en una serie de servicios y aplicaciones como Apple, iCloud, Amazon, Tesla y Steam.

El País-Montse Hidalgo Pérez

El pasado 24 de noviembre, el investigador Chen Zhaojun, de Alibaba Cloud Security Team, encontró una debilidad en Log4j, una popular herramienta del gigante del código abierto Apache que está presente en un sinnúmero de páginas web y aplicaciones. La vulnerabilidad, bautizada como Log4Shell, permite a un potencial cibercriminal ejecutar código en un equipo ajeno de forma remota. Entre los riesgos que pueden colarse por esta puerta entreabierta y hasta ahora desconocida están virus informáticos que permitan secuestrar datos o habilitar sistemas de espionaje, entre otros.

Según recoge Bloomberg, Zhaojun se apresuró a contactar con Apache, pero mantuvo en secreto su descubrimiento con la intención de dar margen de respuesta a sus desarrolladores. “Por favor, daos prisa”, escribió a los pocos días. La urgencia era pertinente. Log4Shell ha sido calificada como la vulnerabilidad más crítica de la última década, no tanto por su complejidad como por el hecho de que el uso de esta librería está tan extendido que es imposible determinar a cuántas entidades afecta. El problema es lo que se conoce como una vulnerabilidad de día cero ―zero day―, que identifica aquellas brechas de seguridad para las que todavía no se ha diseñado un parche. Cualquier sistema que incorporase Log4j antes de que empezasen a llegar las actualizaciones está expuesto.2

El anuncio oficial de la existencia de Log4Shell, que llegó el 9 de diciembre, desató una carrera en sentidos opuestos: desde un extremo, empresas y administraciones de todo el mundo corrieron a asegurar sus sistemas; desde el otro, bandas de cibercriminales de la talla de Conti ―uno de los principales operadores de secuestros informáticos a nivel mundial―, se apresuraron a sacar tajada antes de que la situación estuviese controlada. La competición sigue en marcha.

“Todo software tiene vulnerabilidades hasta que se demuestre lo contrario”

1. ¿Qué es Log4j?

Log4j es una librería de código abierto (open source) creada por Apache Software Foundation. Los recursos de este tipo incluyen funciones ya desarrolladas que permiten a los programadores trabajar más deprisa, sin necesidad de construir todo desde cero. Miles de desarrollos integran esta herramienta en sus propios programas para monitorizar su actividad. “Es casi universal”, resume Eusebio Nieva, director técnico de la empresa de ciberseguridad Check Point Software para España y Portugal. La información contenida en los registros que genera Log4j puede emplearse, por ejemplo, para encontrar errores en el desempeño del programa que están vigilando.

La enorme difusión de esta librería la justifica la importancia de Apache en el mundo open source y el hecho de que Log4j esté dirigida al desarrollo de aplicaciones en Java. Este lenguaje de programación, presente en aplicaciones y páginas web, es según la última encuesta de Stack Overflow el cuarto más utilizado a nivel mundial, solo por detrás de Javascript, Python y SQL.

2. ¿Por qué es tan peligrosa una vulnerabilidad como Log4Shell?

Esta vulnerabilidad podría permitir a un tercero ejecutar código en un equipo ajeno de forma remota. ¿Qué se puede hacer con un poder así? “Ancha es castilla”, resume José Rosell, socio director de la compañía S2Grupo, especializada en ciberseguridad y operaciones de sistemas de misión crítica. La posibilidad de introducir comandos en la máquina atacada permitiría, por ejemplo, descargar un virus de secuestro informático con el que infectar y cifrar los equipos de la red; o sencillamente espiar. “Lo que tenemos es una vulnerabilidad que nos permite entrar en uno o varios ordenadores de la organización. A partir de ahí ya se pueden usar las técnicas clásicas de ataque”.

El principal problema y lo que convierte a esta vulnerabilidad en la peor de la década es en lo extendido que está el uso de esta librería. “Ha habido vulnerabilidades mucho más sofisticadas, el problema de esta es la superficie de exposición. Cada vez que lo pienso se me ponen los pelos de punta”, admite Rosell.

Al potencial de Log4Shell para el desastre contribuye el hecho de su aprovechamiento es una tarea relativamente fácil. “Para explotar estas vulnerabilidades, todo lo que se necesita es una pequeña cantidad de código Java, disponible fácilmente a partir de pruebas de concepto publicadas, y una herramienta que sea capaz de manipular el contenido de las solicitudes web u otro tráfico de internet que pueda ser registrado por el software objetivo del ataque”, precisa Sean Gallagher, investigador principal de amenazas de la firma de ciberseguridad Sophos.

3. ¿A quién afecta?

La versatilidad de Java y la ubicuidad de Log4j en los desarrollos que emplean este lenguaje sitúa esta vulnerabilidad en todo tipo de sistemas. “Desde el router que tienes en tu casa, hasta la aplicación del móvil que tienes para acceder a tu cuenta del banco, pasando por los programas que puedes tener implementados en un coche”, enumera el portavoz de S2Grupo.

Aunque se están elaborando listas de proveedores cuyos productos integran Log4j, desde Apache insisten en que es imposible conocer con exactitud su verdadero alcance. “Cualquier cifra sería pura especulación y probablemente errónea por un gran margen”, sentencian en el blog de la fundación.

4. ¿Qué consecuencias ha tenido hasta ahora?

En Check Point habían detectado hasta el pasado viernes cerca de tres millones de intentos de explotar la vulnerabilidad. Más del 46% de estos procedían de grupos maliciosos conocidos. “Y estos son solo los que hemos visto nosotros”, matiza Nieva.

La firma de seguridad Netlab también encontró, a los pocos días de conocerse la vulnerabilidad, software malicioso de diez familias distintas propagándose a través de Log4j. Entre estos destacan criptomineros como Kinsing, que emplean los recursos de las máquinas infectadas para extraer criptomonedas, o botnets como Muhstik, que integran los equipos en una red con la que el cibercriminal puede orquestar otros ataques.

Para Rosell, el peor escenario posible es una escalada de incidentes de ciberseguridad que termine por saturar la capacidad de respuesta de empresas como la suya: “Ahora no es que sea plato de buen gusto, pero vamos a velocidad de crucero. El miedo que tenemos es que no dé tiempo a parchear suficientemente rápido como para evitar una ráfaga de ataques”.

5. ¿Cómo puede solucionarse la vulnerabilidad? ¿Quién debe hacerlo?

Apache acompañó el anuncio de la vulnerabilidad con la publicación del primer parche destinado a subsanarla. Desde entonces, se han publicado otras dos actualizaciones que amplían la protección y complican la utilización de Log4j por parte de los cibercriminales. Los sistemas que tengan incorporadas las últimas versiones tendrían que estar a salvo.

La pelota está ahora en el tejado de las incontables empresas e instituciones cuyos programas informáticos (comerciales o hechos a medida) pueden incorporar una versión antigua de la librería. “En primer lugar, las empresas tienen que saber cuál de los programas que tienen es vulnerable, y los desarrolladores de ese software tienen que publicar nuevas versiones que los clientes puedan instalar. Las empresas que han creado sus propias aplicaciones de internet en las que utilizan componentes Java tendrán que comprobar y actualizar el código Log4j en cualquiera de esas aplicaciones”, detalla Gallagher.

A los usuarios finales nos queda la responsabilidad de asegurarnos de que estamos al día en el apartado de seguridad de nuestros dispositivos y sus aplicaciones. Aunque muchas de ellas se realizarán de forma automática y en segundo plano, es posible que en algunos casos se notifique que hay procesos pendientes. “Que se hagan lo antes posible todas las actualizaciones que se pidan de sistemas operativos de móviles, tabletas y ordenadores”, urge Rosell.

6. ¿Cuándo se podrá dar por controlada la situación?

“Nunca”, sentencia Rosell. Una vez más, la amplia difusión de esta librería hace utópico esperar una que el 100% de las entidades que la usan instalen los parches pertinentes. Es razonable esperar que las grandes organizaciones inviertan los recursos necesarios en neutralizar la amenaza a corto plazo y que esto disipe un poco los riesgos asociados a Log4Shell. Sin embargo, la espera puede alargarse hasta la eternidad en el caso de entidades menores que no tienen los medios para tomar medidas o en aquellas que incluso ignoran que Log4j forma parte de sus sistemas.

“Por desgracia, hay cientos de productos vulnerables y es posible que las empresas no descubran todas sus vulnerabilidades hasta dentro de unos meses, si es que lo hacen”, comenta Gallagher. De hecho, lo habitual es que estas vulnerabilidades sigan siendo explotadas por los criminales hasta varios años después de haber sido identificadas.