Los hechos:
Tras la vulnerabilidad de Microsoft a principios de diciembre, ahora es la vulnerabilidad de seguridad Log4Shell la que está dando que hablar. Se trata de la Bundesamt für Sicherheit in der Informationstechnik (BSI) (el equivalente a la ANSSI en Alemania) reveló su existencia el 10 de diciembre de 2021.
Se refiere a la biblioteca de registro Log4j desarrollada por la fundación Apache. Una biblioteca, también llamada biblioteca de software, es un conjunto de funciones y clases que ya han sido codificadas en un lenguaje específico para desarrollar software. Si se desvía de su uso previsto, la biblioteca Log4j puede ejecutar código no autorizado en un servidor.
Esta vulnerabilidad es preocupante porque la biblioteca Log4j se utiliza mucho en todo el mundo, especialmente en las grandes empresas. Las versiones 2.0 a 2.14.1 se ven afectadas por esta vulnerabilidad. Además, se trata de una vulnerabilidad de día cero, lo que significa que no había ningún parche disponible en el momento de su descubrimiento.
Según Jennifer Easterly, directora de la CISA, «es una de las fallas más graves, si no la más grave, a la que me he enfrentado desde el comienzo de mi carrera», con una amenaza de nivel 10. (Fuente: France24).
Guillaume Poupard, director general de la ANSSI: «Me temo que al profundizar (…) nos demos cuenta de consecuencias que pueden ser relativamente graves», declaró, y añadió: «Mi temor es que la vulnerabilidad se haya estado explotando durante mucho más tiempo del que imaginamos». Esta vulnerabilidad se está explotando activamente.
Se han desarrollado correcciones.
Apache ha publicado una corrección con la versión 2.15.0 de Log4j que le recomendamos instalar lo antes posible.
Para las organizaciones afectadas (empresas, administraciones, etc.), actualizar sus herramientas puede resultar tedioso. Es un proceso que lleva tiempo, ya que hay que asegurarse de que el «parche» no plantee problemas de compatibilidad. (Fuente: LeMonde) Y es posible que otras aún no sepan que son vulnerables...
Además del parche de Apache, muchos editores que utilizan Log4j están publicando gradualmente otros parches. Sin embargo, en caso de dificultades para migrar a esta versión, se pueden aplicar temporalmente medidas alternativas pueden aplicarse temporalmente.
Avant de Cliquer te sensibiliza sobre la ciberseguridad...
- En primer lugar, le recomendamos que compruebe si se ve afectado por esta vulnerabilidad realizando un inventario de sus aplicaciones.
- Actualice la biblioteca con la versión 2.16.00 (o solución provisional).
- Comprueba tus registros para asegurarte de que no ha habido ningún ataque.
- Implemente soluciones técnicas y organizativas en su organización para sensibilizar a sus equipos sobre la ciberseguridad.
