Estamos ya tan acostumbrados a hablar de robos de datos, fallos de seguridad y vulnerabilidades que hacerlo otra vez parece trivial, pero no lo es. No al menos en el caso de Log4Shell, una vulnerabilidad zero-day que algunos han calificado como la peor de la historia.
El problema reside en Log4j, una librería Java que se usa masivamente en sistemas empresariales y aplicaciones web. El problema ha afectado ya a servidores de Minecraft que se hackearon con un sencillo mensaje en el chat de la partida, pero la amenaza es enorme para todo tipo de plataformas. Afortunadamente existe parche, así que los administradores de sistemas deberían corregir el problema cuanto antes.
Un problemón contra el que los usuarios finales pueden hacer bien poco (pero sí los administradores de sistemas)
Log4j es un entorno de trabajo para registro de actividad en Apache y que permite monitorizar la actividad en una aplicación. El CEO de Cloudflare, Matthew Prince, avisó hace unos días de que el problema era tan gordo que su empresa trataría de desplegar ciertos mecanismos para mitigarlo incluso para clientes de su servicio gratuito.
Todo lo que tenía que hacer un atacante para explotar el problema es enviar un pedazo de código malicioso: ese código acabará siendo registrado por Log4j si está en su versión 2.0 o superior, y al hacerlo dará acceso al atacante al sistema, que podrá ejecutar código de forma remotamente.
Free Wortley, CEO de la plataforma de seguridad LunaSec, explicaba que este es "un fallo de diseño de proporciones catastróficas" en la librería, y el problema se explotó por ejemplo en los servidores de Minecraft.
Varias agencias nacionales de ciberseguridad publicaron alertas sobre el tema, y los expertos avisaban de lo fácil que era exponer especialmente a grandes empresas que usan esa librería de forma habitual. La propia Apache Software Foundation calificó la vulnerabilidad —corregida en Log4j 2.15.0— con un índice de peligrosidad de 10 sobre 10.
Lo contaban nuestros compañeros de Genbeta ayer al hablar de cómo la vulnerabilidad era peculiar por muchas cosas pero también por una muy llamativa: esa librería, que como decíamos es crítica para muchas plataformas, estaba siendo mantenida por solo tres desarrolladores... en su tiempo libre.
Esos tres desarrolladores lograron atajar el problema y ya han publicado los parches que permiten a cualquiera administrador de sistema actualizar ese componente de sus sistemas para evitar que el problema pueda afectar a sus servicios.
Los usuarios finales poco pueden hacer salvo que tengan servidores en los que tengan instalados servicios y aplicaciones que puedan usar ese componente. En ese caso, como los administradores de grandes plataformas y servicios, la clave está en actualizar los sistemas para que ese componente se corrija con el parche publicado por esos tres desarrolladores.
Vía | Wired
Más información | CCN-CERT
Ver 21 comentarios
21 comentarios
leonsk29
Por lo visto seguimos traduciendo "library" como "librería", cosa que es un error. "Library" significa biblioteca, librería en inglés es "book store".
Rawl Draw
“… amenaza con destrozar internet” + “ Afortunadamente existe parche” = CLICKBAIT ROÑOSO
raixs
"Log4j es un entorno de trabajo para registro de actividad en Apache y que permite monitorizar la actividad en una aplicación."
Log4j no es para llevar el registro de actividad en Apache, Log4j pertenece a la fundación Apache, pero lleva el registro de actividad de Java.
El problema es que es un estandar en la industria, se usa en prácticamente todos los proyectos java, ya sean empresariales o no...
Ecliptic
“estaba siendo mantenida por solo tres desarrolladores... en su tiempo libre”
Esa es una de las caras ocultas del opensource, muchos se aprovechan de el, pero pocos invierten, luego pasan cosas como estas.
A saber cuanto tiempo ha pasado desde que alguien vio la vulnerabilidad en el código y en lugar de corregirlo se dedicó a explotarlo.
reaper45
Relevant xkcd:
https://xkcd.com/2347/
sleepwritten
Esto me recuerda al caso de core-js, librería crítica para muchos proyectos e incluso frameworks para node. Era mantenida por un solo sujeto (y parece que sigue así), el cual tuvo un accidente en moto y terminó llendo a prisión por matar a alguien en ese accidente...
razhan
Desde el equipo de AWS Corretto hemos sacado una utilidad que permite parchear este problema en caliente, sin reiniciar la maquina virtual. Esta pensada para aplicaciones criticas que no pueden pararse fuera de horarios de mantenimiento o para aplicaciones que se distribuyen con sus dependencias para las que no hay aun un parche disponible (o la actualizacion de la aplicacion puede ser problematica).
Mas informacion:
https://aws.amazon.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/
Puede descargarse desde aqui:
https://github.com/corretto/hotpatch-for-apache-log4j2