Descubierta Log4Shell, “la mayor vulnerabilidad crítica de la última década” que afecta a millones de servidores

El “exploit”, que permite ejecutar código de forma remota en cualquier máquina vulnerable, corresponde a Log4j. Esta es una librería de registro de código abierto común en todo tipo de “software” y servicios, desde iCloud a Steam o Minecraft

Apache hizo pública la existencia de Log4Shell el pasado jueves al lanzar la actualización de la librería Log4j que soluciona la vulnerabilidad.
Apache hizo pública la existencia de Log4Shell el pasado jueves al lanzar la actualización de la librería Log4j que soluciona la vulnerabilidad.

Los equipos de seguridad de empresas de todo el mundo han comenzado a parchear una vulnerabilidad hecha pública el pasado jueves que permite la ejecución remota de código en máquinas vulnerables de forma sencilla. EL “exploit” ha sido bautizado como Log4Shell y está presente en una librería de registro de código abierto ampliamente utilizada en aplicaciones y servidores en Internet llamada Log4j.

Un “log” o registro es un proceso estándar en “software” por el que las aplicaciones guardan una relación de todos los eventos que tienen lugar durante su funcionamiento, de manera que en caso de error puede revisarse para identificar el problema. Log4j está presente en millones de servidores de Internet que ahora deben ser parcheados con celeridad para evitar los ataques de los ciberdelincuentes que pueden instalar “malware” fácilmente aprovechando Log4Shell. Para activar el “exploit”, el ciberdelincuente tiene que conseguir que el “software” vulnerable guarde una cadena especial de caracteres en el “log”. A partir de ese momento, las puertas están abiertas para los ciberdelincuentes.

Marcus Hutchins, experto en seguridad, ha señalado que “esta vulnerabilidad log4j (CVE-2021-44228) es extremadamente peligrosa. Millones de aplicaciones usan Log4j para el registro, y todo lo que el atacante necesita hacer es que la aplicación registre una cadena especial (de caracteres). Hasta ahora, se ha confirmado que iCloud, Steam y Minecraft son vulnerables”.

Hutchins profundiza en el caso del popular videojuego Minecraft, en el que los atacantes pudieron ejecutar código de forma remota en sus servidores publicando la cadena de instrucciones que requiere el “exploit” en el chat del juego para que Log4J lo registrara. Otros informes de seguridad incluyen también a los servidores de compañías como Amazon, Twitter y Cloudfare.

Pero fue precisamente en los servidores del juego Minecraft, ya parcheados por Microsoft, donde se localizó por primera vez el “exploit” en funcionamiento. El equipo de seguridad en la nube de Alibaba reportó el descubrimiento a la fundación Apache el pasado 24 de noviembre. Apache es la organización que desarrolla “software” tan empleado como el servidor HTTP Apache de código abierto y también la librería Log4J, entre muchos otros. La fundación ha tardado dos semanas en preparar una actualización de Log4j que solucione la vulnerabilidad y la ha hecho pública al lanzar la actualización. Según Apache, las versiones de Log4J afectadas por Log4Shell son desde la 2.0-beta9 hasta la 2.14.1. La nueva versión publicada, ya sin la vulnerabilidad, es la 2.15.0.

Aunque las grandes compañías que operan en Internet tienen la capacidad de parchear rápidamente sus sistemas, la librería también se integra a menudo en “software” de terceros que solo puede ser parcheado por sus propietarios. La compañía de seguridad Grey Noise ha asegurado que ya ha detectado numerosos servidores buscando máquinas vulnerables al “exploit” en Internet.

John Graham-Cumming, CTO de Cloudfare, ha declarado al medio The Verge que “se trata de una vulnerabilidad muy grave debido al uso generalizado de Java (lenguaje de programación) y de este paquete Log4j. Hay una enorme cantidad de “software” Java conectado a Internet y en los sistemas “back-end”. Cuando miro hacia atrás en los últimos diez años, sólo hay otros dos “exploits” que se me ocurren con una gravedad similar: Heartbleed, que permitía obtener información de servidores que deberían haber sido seguros, y Shellshock, que permitía ejecutar código en una máquina remota”. Por su parte, Amit Yoran, CEO de la firma de ciberseguridad Tenable, la ha definido como “la mayor y más crítica vulnerabilidad de la última década” según recoge The Guardian.

Puede consultarse más información sobre los productos afectados por Log4Shell en esta noticia.