Solución vulnerabilidad log4j

El pasado 9 de diciembre, la noticia de un error informático recién descubierto en un código informático enormemente popular comenzó a propagarse por la comunidad de ciberseguridad. Al día siguiente, casi todas las principales empresas de software estaban en “modo crisis”, tratando de averiguar cómo se vieron afectados sus productos y cómo podrían reparar el problema. Las reacciones de los expertos en seguridad frente a esta nueva vulnerabilidad en una librería de código abierto extremadamente común llamada log4j no tardaron en llegar: “La vulnerabilidad log4j es la más grave que he visto en todos mis años de carrera”, dijo Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos, en una entrevista concedida el pasado jueves al canal de televisión estadounidense CNBC.

Los informes difieren cuando se trata de quién dio la alarma por primera vez sobre dicho problema. Algunas personas dicen que surgió en un foro dedicado al videojuego Minecraft”. Otros señalan a un investigador de seguridad de la empresa de tecnología china “Alibaba”. En lo que están todos de acuerdo es que es la mayor vulnerabilidad de software de todos los tiempos en términos de la cantidad de servicios, sitios y dispositivos expuestos.

Log4j es una biblioteca de código abierto desarrollada en Java por la Apache Software Foundation que ayuda a las aplicaciones de software a realizar un seguimiento de sus actividades pasadas. En lugar de reinventar un componente de “registro” cada vez que los desarrolladores crean un nuevo software, a menudo utilizan código existente como log4j. Ya que cuando se le pide a log4j que registre algo nuevo, intenta darle sentido a esa nueva entrada agregarla al registro. “Esta herramienta es ampliamente utilizada y aparece en una gran parte de los servicios de Internet”, explica Asaf Ashkenazi, director de operaciones de la empresa de seguridad Verimatrix.

 Recursos afectados: 

  • Todas las versiones de Apache log4j-core con versiones desde la 2.0-beta9 hasta la 2.14.1, ambas incluidas.

Esta librería es utilizada en muchos productos. El investigador SwiHak ha publicado una lista para poder consultar los productos afectados.

[Actualización 22/12/2021]: Todas las versiones de Apache log4j-core, desde la 2.0-beta9 hasta la 2.16, ambas incluidas.

Descripción: 

Se ha corregido una vulnerabilidad de severidad crítica que afecta a Log4j que podría permitir la ejecución remota de código. Log4j es una utilidad de registro de código abierto basada en Java, ampliamente utilizada por aplicaciones empresariales y servicios en la nube.

[Actualización 15/12/2021]: Esta vulnerabilidad podría estar siendo explotada. Es importante detectar y solucionar productos no comerciales o desarrollos ad-hoc que utilicen e integren esta librería pues estarían también afectados por esta vulnerabilidad.

[Actualización 20/12/2021]: Se ha corregido una vulnerabilidad de severidad alta presente en la actualización 2.16.0 que podría permitir a un atacante realizar un ataque de denegación de servicio (DoS).

Solución: 

  • [Actualización 15/12/2021]: El equipo de Log4j ha publicado la versión 2.16.0 pues la versión 2.15.0 no solucionaba completamente la vulnerabilidad lo que podría permitir a un atacante provocar una denegación del servicio.
  • [Actualización 20/12/2021]: El equipo de Log4j ha publicado una nueva versión 2.17 que soluciona la vulnerabilidad de severidad alta, también pueden emplearse medidas de mitigación.