Soluciones para el acceso remoto seguro ante la vulnerabilidad Log4j

Las organizaciones necesitan implementar soluciones de seguridad informática para enfrentar vulnerabilidades como la revelada a finales de 2021 en la biblioteca de registro basado en Java, Log4j, una Ejecución Remota de Código (RCE).

La vulnerabilidad Apache Log4j, publicada como CVE-2021-44228 recibió una puntuación de gravedad CVSS (Common Vulnerability Score System) de un máximo de 10. Esta permite que un atacante con acceso remoto tome el control de un dispositivo en Internet, para robar contraseñas, extraer datos e infectar redes con un software malicioso, si el dispositivo ejecuta ciertas versiones de Log4j.

Pero, ¿Qué es Log4j?

Los programadores utilizan diferentes lenguajes de programación al crear un software, uno de ellos es Java, donde se guardan bibliotecas de instrucciones para trabajar. Log4j es una de esas bibliotecas que sirven para reinventar un componente de registro cada vez que crean un nuevo software. Esta biblioteca en particular es muy popular por lo que se usa en muchas aplicaciones y sistemas.

¿Cómo funciona Log4j?

Si un atacante aprovecha esta vulnerabilidad puede tomar el control completo de un servidor afectado. Además, puede enviar una solicitud especialmente diseñada a un sistema vulnerable, la cual permite que al atacante descargar y ejecutar un código malicioso y realizar funciones adicionales, como la filtración de datos, el desvío de fondos, así como la vigilancia o la interrupción del servicio.

Dado que la búsqueda de la Interfaz de Nombrado y Directorio Java (JNDI) admite distintos tipos de directorios, como el Sistema de Nombres de Dominio (DNS), el Protocolo Ligero de Acceso a Directorios (LDAP), el cual proporciona información valiosa como los dispositivos de red de la organización, la vulnerabilidad puede llevar a otras amenazas como:

• Coin Mining: Los atacantes se valen de sus recursos de cómputo para ser parte del procesamiento de criptomonedas, utilizando sus recursos como zombies sin su consentimiento.
• Denegación de Servicio (DoS) de red: Permite que los atacantes, a través de saturación del equipo por solicitudes maliciosas, desconecten y deshabiliten una red, sitio web o servicio para que la organización atacada pierda acceso a ellos.
• Ransomware: Los atacantes logran recopilar y cifrar datos con el fin de pedir un rescate por ellos.

¿Cómo mitigar la vulnerabilidad Log4j?

Es posible que tu empresa use algún software creado bajo Log4j, ya que es utilizada casi por default en una gran variedad de aplicaciones web que se encuentran en entornos empresariales, por lo que los usuarios deben parchear los productos afectados e implementar soluciones de mitigación cuanto antes.

Es importante destacar que la mayoría de las empresas desconocen que sus sistemas utilizan esta biblioteca con vulnerabilidad, teniendo una grave exposición de seguridad.

En algunos casos, simplemente con emplear el parche adecuado se mitigará el riesgo, en otros casos, se tendrá que confiar en los controles de mitigación como las tecnologías de segmentación, detección y respuesta y enfoques más modernos para el desarrollo de aplicaciones.

En todo caso, Cisco Talos Incident Response recomienda que las organizaciones actualicen los planes de respuesta a incidentes, un ejercicio de simulación, para probar la capacidad de la organización para responder ante cualquier incidente.

¿Cómo saber si uso Log4j?, lo primero que se necesita es investigar y determinar dónde existe el riesgo. Puedes hacerlo de la siguiente forma:

• Revisa las fuentes de datos y comienza a crear una lista de Materiales de Software (SBOM) para tus productos.
• Supervisa los avisos de seguridad de tus proveedores de productos y servicios para comprender si se han visto afectados.
• Actualiza Log4j a la última versión recomendada, para remediar completamente cualquier vulnerabilidad.
• Busca en tu repositorio de código fuente, crea registros de canalización y un sistema de archivos de tiempo de ejecución para ubicar la existencia de la biblioteca Log4j.

En este último caso, AppDynamics de Cisco te permite descubrir Log4j en tu entorno de tiempo de ejecución.

Si no estás seguro o no puedes determinar si tu implementación es vulnerable, es recomendable parchear lo más pronto posible. Log4j 2.17.0 es el parche más reciente que ha lanzado Apache.

Solución de problemas de vulnerabilidad de Apache Log4j

Encontrar, reparar y probar todos los sistemas afectados de forma manual puede llevar varios días y ser sumamente tedioso. Pero es posible automatizarlo al implementar soluciones como AppDynamics con Cisco Secure Application, que está integrada en los agentes Java APM, para tener una protección y visión en tiempo real que logre detectar una vulnerabilidad.

Te puede interesar leer: Soluciones contra amenazas de ciberseguridad en tu empresa

AppDynamics ayuda a las organizaciones a detectar y bloquear los intentos de explotación de las vulnerabilidades de Log4j. De esta forma es posible planificar e impulsar soluciones completamente examinadas en lugar de actuar de forma reactiva, lo que permite:

• Identificar las bibliotecas que utilizan el código durante el tiempo de ejecución.
• Detectar ataques mientras se supervisa el comportamiento del tiempo de ejecución.
• Mantener la protección de sistemas con políticas configurables para bloquear el comportamiento de explotación en tiempo de ejecución.

Ahora que sabes cuál es la vulnerabilidad Log4j, en PlanNet implementamos soluciones como Cisco Secure EndPoint , Cisco Umbrella o nuestro APM (Application Performance Management), como AppDynamics de Cisco, para que los equipos tanto de desarrollo como de sistemas, descubran, aíslen y resuelvan problemas que impactan negativamente en el rendimiento de una aplicación.

De esta forma, las empresas que implementan soluciones de acceso remoto seguro a redes pueden prevenir y hacer frente a vulnerabilidades al detectar problemas antes de que afecten los procesos y a los usuarios. Visítanos y conoce todos nuestros servicios de seguridad informática.