Por: Juan Matos
Los sistemas informáticos no son perfectos, tienen debilidades, que pueden ser aprovechadas por ciberdelincuentes para realizar acciones ilegitimas o lograr acceso no autorizado a un sistema informático, a estas debilidades en seguridad cibernética se les conoce como vulnerabilidad.
Una vulnerabilidad podría permitir que un atacante deje sin operación un sistema, logre secuestrar, robar, destruir, modificar o incluso filtrar datos e informaciones importantes y confidenciales de una organización.
Log4Shell es una nueva vulnerabilidad que podría afectar a cientos de millones de dispositivos en todo el mundo, se hizo pública desde el 9 de diciembre, aunque algunos reportes indican que su primera aparición fue el 1ero de diciembre. Esta vulnerabilidad fue revelada por el equipo de seguridad en la nube de Alibaba y fue bautizada de manera oficial como CVE-2021-44228 (CVE es un identificador único que se le otorga a cada vulnerabilidad descubierta en el mundo), su nivel de impacto es 10, en una escala del 0 al 10, lo que le tipifica como una vulnerabilidad critica, en adición a esta, han sido descubierta en las últimas semanas otras debilidades en Apache Log4j, utilidad de logging basada en el lenguaje de programación Java, las vulnerabilidades relacionadas son las siguientes: CVE-2021-45046 [Crítico, 9.0], CVE-2021-4104 [Alto, 8.1], CVE-2021-42550 [Moderado, 6.6] y CVE-2021-45105 [Alto, 7.5].
Según la firma de seguridad Check Point, más del 50% de las organizaciones de gobierno, militares, financieras, Proveedores de servicios de Internet, Salud, Transporte actualmente están afectadas por la vulnerabilidad en Log4j.
Cualquier sistema y/o servicio que este usando esta librería de logging de Java, Apache Log4j entre las versiones 2.0 y 2.16 puede ser vulnerable, esto incluye productos de grandes compañías de tecnología como Apple, Microsoft, Google, Cisco, Juniper, Fortinet, Palo Alto, NetApp, Cloudflare, Adobe, Apache, EMC, Dell, HPE, IBM, Lenovo, Red Hat, PureStorage, Schneider Electric, Siemens, Splunk, SolarWinds, VMware, Xerox, McAfee, Oracle, SolarWinds, SonicWall, Sophos, TrendMicro, Ubiquiti, Ubuntu y muchos otros.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos, por sus siglas en ingles CISA, agregó a Log4Shell a su catálogo de vulnerabilidades explotadas conocidas, para agregar una vulnerabilidad a esta lista, se basan en evidencias que confirman que ciberdelincuentes están aprovechándose activamente de esta vulnerabilidad, por lo cual Log4Shell representa un riesgo importante para las empresas.
Amit Yoran, CEO de Tenable, una de las compañías de ciberseguridad con la solución de evaluación de vulnerabilidades más implementada en el mundo, declaro que: “Log4Shell es, por mucho, la vulnerabilidad más grande y más crítica de la historia.”
Los ciberdelincuentes valiéndose de esta vulnerabilidad podrían acceder remotamente a los sistemas para ejecutar instrucciones a su antojo, detonar ataques de denegación de servicios (DoS) para dejar sin operación los sistemas e incluso podrían utilizar la infraestructura para minar criptomonedas, degradando así el desempeño de la infraestructura tecnológica de la organización vulnerable, incluso se teme que esta vulnerabilidad pudiera ser aprovechada para lanzar ataques de ransomware o secuestro de datos en español.
La relevancia de esta vulnerabilidad es tal que la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad Nacional
(NSA), el Centro Australiano de Seguridad Cibernética (ACSC), el Centro Canadiense de Seguridad Cibernética (CCCS), el Equipo de Respuesta a Emergencias Informáticas de Nueva Zelanda (CERT NZ), el Centro Nacional de Seguridad Cibernética de Nueva Zelanda (NZ NCSC) y el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC-UK) están trabajando en conjunto para analizar y generar estrategias de mitigación para abordar la vulnerabilidad en Log4j de Apache.
Log4Shell es una vulnerabilidad crítica y dado que al día de hoy es imposible cuantificar el impacto que podría generar su explotación, la recomendación es que la misma sea tratada de manera urgente por los equipos de tecnología y de seguridad de la información de cada organización, siguiendo las buenas practicas que los fabricantes de la industria tecnológica han dispuesto para mitigar esta amenaza.
Sobre el autor: Juan Matos, MSc
CEO y Fundador de VOLARIT, vicepresidente de la Internet Society en República Dominicana. Informático con Maestría en Ciberseguridad del Instituto Tecnológico de Santo Domingo (INTEC), Maestría en Tecnología, Aprendizaje y Educación de la Universidad del País Vasco, Maestría en Gestión Pública de la Universidad de las Palmas de Gran Canaria, actualmente trabaja en su tesis para optar por el grado de doctor de la Universidad del País Vasco.