Aquí puedes consultar los productos afectados por la vulnerabilidad crítica Log4Shell

Apache Foundation dio a conocer la semana pasada una peligrosa vulnerabilidad que afecta a la librería de registro Log4j, un “software” de código abierto basado en Java que está presente en muchos servicios y productos que emplean dicho lenguaje de programación. Log4j mantiene un registro de la actividad que tiene lugar durante el funcionamiento de una aplicación. Así, por ejemplo, en caso de error se pueden revisar todos los eventos registrados para ayudar en la identificación del fallo.

La vulnerabilidad crítica Log4Shell (CVE-2021-44228) puede aprovecharse para acceder a redes y sistemas que empleen “software” que incluya a esta ubicua librería de registro, en sus versiones desde la 2.0-beta9 hasta la 2.14.1. Si el atacante logra que Log4j registre una determinada cadena de caracteres, puede usar la vulnerabilidad para acceder al sistema y realizar acciones como instalar “malware”, espiar o borrar datos, entre otras.

En el caso del popular videojuego Minecraft, se consiguió explotarla escribiendo en el chat del juegodicha cadena de caracteres para que quedara registrada en el “log”. Su potencial de peligro ha sido calificado por Apache de diez sobre diez y según expertos en seguridad como Amit Yoran (Tenable), es “la mayor y más crítica vulnerabilidad de la última década”.

A la vez que hizo pública la vulnerabilidad CVE-2021-44228, Log4Shell, Apache lanzo una actualización (2.15.0) de su librería que corrige el problema, pero ahora es necesario que los sistemas y aplicaciones que la emplean la actualicen para permanecer seguros. Las grandes empresas comenzaron a asegurar sus sistemas desde el momento en que se hizo pública, pero con un “software” tan ubicuo como la librería Log4j, que a menudo forma parte de aplicaciones de terceros que son los que deben realizar la actualización, muchos servicios y productos pueden permanecer desprotegidos a pesar de la peligrosidad de Log4Shell.

La firma de seguridad ESET, por ejemplo, ha alertado de la actividad de los ciberdelincuentes que escanean Internet en busca de sistemas vulnerables para acceder a ellos. La compañía ha señalado en Twitter que se están bloqueando cientos de miles de intentos de explotar la vulnerabilidad por todo el mundo, principalmente en Estados Unidos, Reino Unido, Turquía, Alemania y los Países Bajos.

¿Cuáles son los productos afectados por Log4Shell?

El Instituto Nacional de Ciberseguridad, INCIBE, ha publicado un listado provisional de los productos potencialmente afectados por esta vulnerabilidad. Desde su web, también enlaza a las aportaciones del investigador SwitHak y las del Centro de Seguridad Nacional neerlandés (NCSC-NL).

La relación de INCIBE se centra en productos y servicios de empresas como CISCO, VMware, RedHat, Apache Solr, Apache Struts, Solarwinds, Debian y Citrix, entre otras, enlazando a sus respectivas webs con la lista de productos afectados y medidas tomadas.

La lista aportada por el investigador SwitHack contiene una relación bastante más extensa con nombres como BitDefender, Cpanel, Dell, F-Secure, Google Cloud, Siemens, TP-Link y Oracle entre muchas otras empresas. Este listado incluye no solo a empresas con “software” vulnerable sino también a las que se han pronunciado sobre el tema bien para señalar que no están bajo peligro o aconsejar a clientes de sus servicios como afrontar este problema en “software” de terceros.

Pero la relación más completa es la del NCSC-NL, en la que también se indican datos como la versión del producto y si es vulnerable, no lo es o lo era pero ya se ha implementado la actualización del Log4j que soluciona la vulnerabilidad.

Toda esta información está disponible en la web de INCIBE.