Todo lo que necesita saber sobre la vulnerabilidad de Log4j

by John Moran, Security Solutions Architect, Rackspace Technology, and Brandon Jaster, Senior Manager, Threat and Vulnerability Analysis, Rackspace Technology

Solving the Log4j Vulnerability

Los últimos meses han sido sumamente complicados de manejar para los equipos de seguridad, y muchos seguirán teniendo problemas para garantizar una respuesta holística. En primer lugar, resulta esencial comprender la base técnica con la que estamos trabajando para poder entender los hechos recientes.

Hace 21 años, Log4j v1 surgió como una biblioteca de registro estándar para aplicaciones Java™ y ahora con Log4j v2, es uno de varios servicios de registro para un gran número de servicios basados en Java. Se distribuye como parte de la licencia Apache Software Foundation® de código abierto para proporcionarles a las aplicaciones un mecanismo sencillo para registrar datos de aplicaciones y datos generados por el usuario desde una aplicación.

Además, dentro de log4j, existe algo llamado clase Java Naming and Directory Interface (JNDI), que proporciona resolución de búsqueda de objetos y variables. Este proceso de resolución es donde se pueden aprovechar las vulnerabilidades, y estas infecciones van desde un simple escaneo masivo dentro de la red en busca de otros hosts para infectar, hasta la instalación de puertas traseras que pueden exfiltrar datos. 

 

La vulnerabilidad de Log4j

Lo que permitió que se produjeran estas vulnerabilidades fue específico del código vulnerable dentro de la clase de función de búsqueda JNDI y desde la fecha presente remontándose a revisiones de 2013. Sin embargo, no fue hasta hace poco, el 24 de noviembre de 2021, que un investigador de seguridad descubrió la vulnerabilidad y la hizo pública.

La vulnerabilidad les permitía a los atacantes enviar fácilmente comandos a servidores que, en caso de ser vulnerables, ejecutaban el comando que se les enviara. Además, incluía una de las clases de infecciones más críticas, una ejecución remota de código (RCE) que les brinda a los atacantes acceso remoto completo al sistema host para ejecutar lo que quieran.

Poco después del anuncio público de vulnerabilidad, los grupos actores de amenazas comenzaron a escribir software que buscara y explotara la vulnerabilidad a escala en toda la Internet. Algunos incluso distribuyeron el código de forma gratuita para que otros actores o estados naciones maliciosos también pudieran buscar objetivos vulnerables.

El 9 y el 10 de diciembre de 2021, las bases de datos de vulnerabilidades, producidas por las empresas de identificación y gestión de vulnerabilidades, publicaron la vulnerabilidad para concientizar a la comunidad. Sin embargo, para ese entonces, ya había bots que escaneaban y atacaban donde fuera que pudieran encontrar los sistemas débiles.

En las siguientes semanas, con el nivel de atención adicional, se descubrieron más vulnerabilidades dentro de las bibliotecas de Log4j, y los equipos de seguridad y desarrollo trabajaron durante diciembre de 2021 para hacer frente a los resultados. A continuación, se indican todas las vulnerabilidades actuales en torno a Log4j v2:

List of Log4j v2 Vulnerabilities

 

Cómo proteger su red

Para mantener a las organizaciones a salvo de los ataques de vulnerabilidad en torno a Log4j, nuestro equipo de seguridad recomienda llevar a cabo las siguientes acciones: 

Aplicar parches lo antes posible y con frecuencia

Específicamente, para Log4j, la versión de nivel de parche más reciente es la 2.17.1. Esto debería tratarse como una oportunidad de aprendizaje. Si aún no lo tiene implementado, use este tiempo para crear un sistema o proceso sistemático que garantice que las versiones futuras de todas las aplicaciones, software, códigos, estaciones de trabajo y servidores se mantengan actualizados mediante el escaneo de parches con una cadencia regular. 

Desarrollar confianza cero

Considere el interior de una red de la misma manera que el exterior; una red no confiable. Por ejemplo, desarrolle un enfoque de confianza cero o de privilegios mínimos que solamente otorgue acceso y permisos cuando sea necesario y solamente a aquellos que realmente lo requieran para la continuidad de las actividades comerciales. Además, aísle las cargas de trabajo entre sí. Si no es necesario que una aplicación o un sistema se comunique, rechace ese tráfico de forma predeterminada. 

Suponer lo peor

Dé por sentado que todas las vulnerabilidades basadas en RCE pueden tener como resultado infecciones basadas en gusanos, lo que significa que, a través del servidor víctima, otros servidores corren el riesgo de ser atacados. Dé por sentado que sus sistemas y redes se verán afectados.

Eliminar el código

Si no es posible aplicar parches a la última revisión de código de las aplicaciones basadas en Log4j, considere eliminar la función de clase de búsqueda JDNI. Sin embargo, actúe con precaución, ya que esto podría hacer que algunas aplicaciones no funcionen según lo previsto. 

Investigar la actividad maliciosa

Si está ejecutando una versión vulnerable de log4j, busque indicadores de ataque o indicadores de puesta en peligro. Por ejemplo, la vulnerabilidad podría incluir la creación de nuevos usuarios, actividad de registro inesperada, uso de recursos anormalmente alto o un tráfico de red extraño que ingresa y sale de sus cargas de trabajo. 

Verificación de seguridad

Lleve a cabo ejercicios de equipo rojo contra equipo azul, donde el equipo rojo ataca y el equipo azul verifica la visibilidad y garantiza que las defensas como EDR e IPS funcionen según lo previsto. Si no es así, realice los ajustes que correspondan y ejecútelo de nuevo. 

Seguimiento. Seguimiento. Seguimiento.

Desarrolle un sistema para hacer un seguimiento de su red, incluidos los activos, los usuarios y el software de proveedores. Si de repente se encuentran nuevos activos, usuarios o software desconocidos y no está claro por qué, realice las investigaciones correspondientes. Haga un seguimiento, ya que eso tuvo que originarse en algún lugar. 

 

Solving Together

Es hora de implementar una hoja de ruta. Comience con estas cinco preguntas.

1) ¿Cómo respondería su organización?

2) ¿Sus registros críticos ya estarían almacenados fuera del dispositivo para su investigación?

3) ¿La aplicación o la base de datos podría restaurarse a partir de una copia de seguridad de manera oportuna?

4) ¿Algún miembro del equipo sabría cómo crear una imagen sólida desde el punto de vista forense?

5) ¿Se han establecido funciones y responsabilidades, de modo que cada miembro sepa a quién contactar o qué hacer? 

La ciberseguridad ha sido siempre fundamental, pero ha alcanzado un nuevo sentido de urgencia, ya que la cantidad y la intensidad de los ciberataques han aumentado. Sin embargo, con demasiada frecuencia, las organizaciones creen que tienen bajo control los desafíos de seguridad complejos, y esa idea está lejos de la realidad. Nuestra encuesta reciente a 1400 líderes mundiales de TI determinó que muchos depositan una confianza excesiva en sus capacidades de seguridad.

El white paper de Rackspace Technology® titulado "¿Está la ciberseguridad a la altura de los desafíos cada vez mayores de la actualidad?" ofrece información sobre cómo los líderes de TI pueden evaluar su enfoque actual con respecto a la ciberseguridad y crear una estrategia de seguridad que pueda abordar el panorama de amenazas cibernéticas cada vez más complejo de hoy.

Transforme su estrategia de seguridad con una solución moderna