Log4Shell es posiblemente uno de los bugs más importantes en materia de seguridad informática. Por su sencillez de explotar y la aparente infinitud de servicios afectados, este fallo de seguridad en Apache Log4J y programas que utilizan esta herramienta de registro. Se trata de un exploit Zero-Day en la biblioteca de registro de Java Log4j (2.0 – 2.14.1) que da como resultado la Ejecución Remota de Código (Remote Code Execution, siglas RCE) al registrar una determinada cadena. Con esto, un atacante puede construir un paquete especial de solicitud de datos, que finalmente desencadena la RCE.
Su presencia se comunicó el pasado día 24 de noviembre de 2021 por parte del equipo de seguridad de Alibaba Cloud. Como algunas funciones de Apache Log4j realizan análisis recursivo, los atacantes pueden construir directamente solicitudes para desencadenar vulnerabilidades de ejecución remota de código. Esta vulnerabilidad afecta a Apache Struts2, Apache Solr, Apache Druid y Apache Flink.
Índice de contenido
Por qué está tan extendido Log4Shell
Se debe principalmente a que está en prácticamente en todos los dispositivos que usan Log4j. Al estar en una biblioteca abierta en repositorios como Github y foros de soporte, ha sido muy descargado y por ello cualquier dispositivo que lo tenga se ve afectado. Ya se ha descubierto que los servicios en la nube como en Steam, Apple iCloud, y aplicaciones como Minecraft son vulnerables a Log4Shell. Su ejecución es incluso sencilla, con algo tan sencillo como cambiar el nombre de un iPhone para desencadenar la vulnerabilidad.
Incluso aunque se parchee o se use una versión no vulnerable, existen otros vectores de ataque dirigidos a esta vulnerabilidad. Se podría aprovechar código existente en el servidor para ejecutar una carga útil.
Cómo funciona este bug
- El atacante que quiera aprovechar la vulnerabilidad Log4Shell envía un parámetro manipulado al servidor mediante r HTTP u otro protocolo.
- El servidor vulnerable recibe la solicitud con el la carga de trabajo.
- La vulnerabilidad en Log4j permite que el payload se ejecute y entonces el servidor realiza una petición al sitio del atacante, que se realiza a través del protocolo JNDI.
- La respuesta desde el servidor del atacante contiene un archivo Java remoto que se inyecta en el proceso que está ejecutando el servidor vulnerable.
- Una vez cargado, se ejecuta código en el servidor vulnerable.
Dicho de una forma sencilla, algo tan sencillo como mandar una tarea mediante un parámetro a cualquier servidor, se descargue un programa malicioso y puedan ejecutar código remoto habiendo sorteado barreras de seguridad. Con este se puede conseguir tener a disposición los datos y activos de servidores remotos.
Uso malicioso de Log4Shell
Pese a que se informó de él a finales de noviembre, es muy probable que se lleve usando meses y solamente haya sido hace poco cuando ha salido a la luz por equipos de seguridad independientes. Microsoft ha avisado de que múltiples gobiernos están empleando masivamente Log4Shell. Grupos de hackers asociados con Rusia, Turquía, China y Corea del Norte han sido identificados al utilizar la nueva vulnerabilidad por los equipos de seguridad y mitigación de Microsoft, además de un aumento de actividad generalizada entre ciberdelincuentes independientes.
Esto demuestra que Log4Shell tiene una alta capacidad de propagación y sus potenciales usos son muy grandes. Annque sea una vulnerabilidad aparentemente fácil de parchear, existe el peligro de que entre que se ha descubierto originalmente y que se haya parcheado en un servidor, se hayan podido extraer datos suficientes para realizar nuevos ataques de forma latente durante mucho tiempo.
Se calcula que han intentado atacar la mitad de las redes corporativas del mundo con Log4Shell. Los primeros análisis preliminares remarcan lo fácil y rápido que son los ataques, con millones de impactos como resultado. Lo definen como “ciber pandemia” por su impacto global, a nivel de daños y de extensión. Ejemplo de ello es que en unos pocos días tras ser descubierto, se crearon más de 60 exploits diferentes que utilizan las vulnerabilidades en Log4J para intentar extraer datos.
La consecuencias de esta “ciberpandemia”
Cómo no, ante un virus tan extendido, el mundo de la ciberseguridad se ha puesto en jaque. Es un bug day-one que podría haber infectado millones de servidores sin que se hayan dado cuenta. Expertos y comunidades de ciberseguridad han ido sacando parches para tratar de protegerse, pero tendría que cambiar gran parte del código de Log4J.
Sus efectos ya se están notando en el sector empresarial, con lo que es algo que va mucho más allá de un virus pensado para dispositivos domésticos. “os reguladores chinos suspendieron el 22 de diciembre una asociación de intercambio de información con Alibaba Cloud Computing, al acusarlos de no informar ni tratar rápidamente la vulnerabilidad Log4Shell”, citando informes de medios de comunicación respaldados por el Estado. Alibaba Cloud informó de esta seria vulnerabilidad de ejecución remota de código en el componente Apache Log4j2 a la Apache Software Foundation, pero no informó inmediatamente al Ministerio de Industria y Tecnología de la Información, el regulador de las telecomunicaciones en China. Estos recibieron un informe de un tercero sobre el problema varios días después, en lugar de hacerlo de Alibaba Cloud. Por ello el MIIT suspendió una asociación de cooperación con la unidad de la nube en relación con las amenazas de ciberseguridad y las plataformas de intercambio de información.
En tan solo 72 horas después de ser descubierto, la cifra de sistemas infectados ascendió a 830.000. Gran parte de este problema, fue porque fue descubierto en un fin de semana cuando el equipo de seguridad de Apache estaba reducido. ya se han encontrado servidores afectados en más de 90 países, y en más del 60& de los servidores empresariales según han comentado en Check Point.