TecTop
Crédito: Pixabay / CC0 Public Domain
Log4Shell, una vulnerabilidad de Internet que afecta a millones de computadoras, involucra una pieza de software oscura pero casi ubicua, Log4j. El software se utiliza para registrar todo tipo de actividades que se desarrollan bajo el capó en una amplia gama de sistemas informáticos.
Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., Llamó a Log4Shell vulnerabilidad más grave ella ha visto en su carrera. Ya ha habido cientos de miles, tal vez millones, de intenta explotar la vulnerabilidad.
Entonces, ¿qué es esta humilde pieza de infraestructura de Internet, cómo pueden los piratas informáticos explotarla y qué tipo de caos podría producirse?
¿Qué hace Log4j?
Log4j registra eventos (errores y operaciones rutinarias del sistema) y comunica mensajes de diagnóstico sobre ellos a los administradores y usuarios del sistema. Es software de código abierto proporcionado por el Fundación de software Apache.
Un ejemplo común de Log4j en el trabajo es cuando escribe o hace clic en un enlace web incorrecto y obtiene un mensaje de error 404. El servidor web que ejecuta el dominio del enlace web al que intentó acceder le dice que no existe tal página web. También registra ese evento en un registro para los administradores del sistema del servidor que utilizan Log4j.
Se utilizan mensajes de diagnóstico similares en todas las aplicaciones de software. Por ejemplo, en el juego en línea Minecraft, el servidor usa Log4j para registrar la actividad, como la memoria total utilizada y los comandos del usuario ingresados en la consola.
¿Cómo funciona Log4Shell?
Log4Shell funciona abusando de una función en Log4j que permite a los usuarios especificar un código personalizado para formatear un mensaje de registro. Esta función permite a Log4j, por ejemplo, registrar no solo el nombre de usuario asociado con cada intento de iniciar sesión en el servidor, sino también el nombre real de la persona, si un servidor separado tiene un directorio que vincula los nombres de usuario y los nombres reales. Para hacerlo, el servidor Log4j debe comunicarse con el servidor que contiene los nombres reales.
Desafortunadamente, este tipo de código se puede utilizar para algo más que formatear mensajes de registro. Log4j permite a los servidores de terceros enviar código de software que puede realizar todo tipo de acciones en la computadora de destino. Esto abre la puerta a actividades nefastas, como robar información confidencial, tomar el control del sistema objetivo y pasar contenido malicioso a otros usuarios que se comunican con el servidor afectado.
Es relativamente sencillo explotar Log4Shell. Pude reproducir el problema en mi copia de Ghidra, un marco de ingeniería inversa para investigadores de seguridad, en solo un par de minutos. Hay una barra muy baja para usar este exploit, lo que significa que una gama más amplia de personas con intenciones maliciosas puede usarlo.
Log4j está en todas partes
Una de las principales preocupaciones sobre Log4Shell es la posición de Log4j en el ecosistema de software. El registro es una característica fundamental de la mayoría del software, lo que hace Log4j muy extendido. Además de juegos populares como Minecraft, se utiliza en servicios en la nube como Apple iCloud y Amazon Web Services, así como en una amplia gama de programas de herramientas de desarrollo de software a herramientas de seguridad.
Esto significa que los piratas informáticos tienen un gran menú de objetivos para elegir: usuarios domésticos, proveedores de servicios, desarrolladores de código fuente e incluso investigadores de seguridad. Entonces, si bien las grandes empresas como Amazon pueden parchear rápidamente sus servicios web para evitar que los piratas informáticos los exploten, hay muchas más organizaciones que tardarán más en parchear sus sistemas, y algunas que tal vez ni siquiera sepan que lo necesitan.
El daño que se puede hacer
Los piratas informáticos están escaneando Internet para encontrar servidores vulnerables y configurando máquinas que pueden entregar cargas útiles maliciosas. Para llevar a cabo un ataque, consultan servicios (por ejemplo, servidores web) e intentan activar un mensaje de registro (por ejemplo, un error 404). La consulta incluye texto creado con fines malintencionados, que Log4j procesa como instrucciones.
Estas instrucciones pueden crear un cáscara inversa, que permite al servidor atacante controlar de forma remota el servidor de destino, o pueden hacer que el servidor de destino forme parte de un botnet. Las botnets utilizan varias computadoras secuestradas para llevar a cabo acciones coordinadas en nombre de los piratas informáticos.
A gran cantidad de hackers ya están intentando abusar de Log4Shell. Estos van desde bandas de ransomware que bloquean servidores de Minecraft a grupos de hackers que intentan minar bitcoins y hackers asociados con China y Corea del Norte tratando de obtener acceso a información sensible de sus rivales geopolíticos. El ministerio de defensa belga informó que sus computadoras estaban siendo atacado usando Log4Shell.
Aunque la vulnerabilidad llamó la atención por primera vez el 10 de diciembre de 2021, la gente todavía se está identificando nuevas formas causar daño a través de este mecanismo.
Detener el sangrado
Es difícil saber si Log4j se está utilizando en un sistema de software dado porque a menudo incluido como parte de otro software. Esto requiere que los administradores del sistema hagan un inventario de su software para identificar su presencia. Si algunas personas ni siquiera saben que tienen un problema, es mucho más difícil erradicar la vulnerabilidad.
Otra consecuencia de los diversos usos de Log4j es que no existe una solución única para parchearlo. Dependiendo de cómo se incorporó Log4j en un sistema dado, la solución requerirá diferentes enfoques. Podría requerir una actualización al por mayor del sistema, como se hizo para algunos enrutadores Cisco, o actualizar a una nueva versión de software, como se hizo en Minecrafto eliminar el código vulnerable manualmente para aquellos que no pueden actualizar el software.
Log4Shell es parte de la cadena de suministro de software. Al igual que los objetos físicos que la gente compra, el software viaja a través de diferentes organizaciones y paquetes de software antes de convertirse en un producto final. Cuando algo sale mal, en lugar de pasar por un proceso de recuperación, el software generalmente es «parcheado, «que significa fijo en su lugar.
Sin embargo, dado que Log4j es presente de diversas formas en los productos de software, la propagación de una solución requiere la coordinación de los desarrolladores de Log4j, los desarrolladores de software que utilizan Log4j, los distribuidores de software, los operadores del sistema y los usuarios. Por lo general, esto introduce un retraso entre la corrección que está disponible en el código Log4j y las computadoras de las personas que realmente cierran la puerta a la vulnerabilidad.
Algunas estimaciones del tiempo de reparación del software generalmente oscilan entre semanas a meses. Sin embargo, si el comportamiento pasado es indicativo de un rendimiento futuro, es probable que la vulnerabilidad Log4j surgirá en los próximos años.
Como usuario, probablemente se esté preguntando qué puede hacer al respecto. Desafortunadamente, es difícil saber si un producto de software que está utilizando incluye Log4j y si utiliza versiones vulnerables del software. Sin embargo, puede ayudar si presta atención al refrán común de los expertos en seguridad informática: asegúrese de que todo su software esté actualizado.
Los expertos en seguridad informática se esfuerzan por solucionar la ‘vulnerabilidad de la década’
Este artículo se vuelve a publicar de La conversación bajo una licencia Creative Commons. Leer el artículo original.
Citación: ¿Qué es Log4j? Un experto en ciberseguridad explica la última vulnerabilidad de Internet, qué tan grave es y qué está en juego (2021, 23 de diciembre) recuperado el 23 de diciembre de 2021 de https://techxplore.com/news/2021-12-log4j-cybersecurity-expert-latest- internet.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con el propósito de estudio o investigación privada, ninguna parte puede ser reproducida sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
