La popular biblioteca de registros de Java log4j (versión 2), que utilizan multitud de servicios en la nube como Steam, iCloud o el videojuego Minecraft, ha resultado afectada por una vulnerabilidad que la expone a ejecución de código remoto.

El fallo de seguridad, que se bautizado como Log4Shell (CVE-2021-44228), es una vulnerabilidad día cero de la que no tenía conocimiento el desarrollador de la biblioteca, Apache, avisa la firma LunaSec.

Para llevar a cabo un ciberataque, los criminales solamente tienen que ejecutar en una aplicación que utilice log4j 2, una línea de código concreta con fines maliciosos, lo que permite la ejecución de código de forma remota.

Se encuentran afectados por este problema multitud de aplicaciones en la nube, entre ellas la biblioteca de videojuegos Steam, el servicio de almacenamiento iCloud de Apple y el juego Minecraft de Microsoft.

El investigador de ciberseguridad Marcus Hutchins, que también alertó sobre otras vulnerabilidades como Wannacry, asegura que en algunos casos, como el del videojuego Minecraft, la vulnerabilidad puede activarse simplemente con enviar un mensaje de chat.

Un atacante puede utilizar este error para acceder a información de los servidores de las aplicaciones vulnerables, lo que abre la puerta al robo de datos y de credenciales de los usuarios finales.

Apache, desarrollador de log4j 2, reconoce que la vulnerabilidad es de gravedad «crítica», y ya ha lanzado la actualización 2.15.0 para corregir este problema de seguridad.

Advertencias de Check Point

Check Point Research destaca que es la biblioteca de registro java más popular, con más de 400.000 descargas en su proyecto GitHub. Desde el pasado viernes, los investigadores han sido testigos de lo que parece una represión evolutiva, con la introducción rápida de nuevas variaciones del exploit original, más de 60 en menos de 24 horas.

Explotar esta vulnerabilidad es sencillo y permite a los ciberdelincuentes controlar servidores web basados en java y lanzar ataques de ejecución remota de código. En la actualidad la mayoría de los ataques se centran en el uso de la minería de criptomonedas a costa de las víctimas, sin embargo, ante el ruido de este fenómeno, los ciberdelincuentes pueden atacar a objetivos de mayor calidad. Por ejemplo, se puede explotar tanto en HTTP como en HTTPS (la versión cifrada de la navegación). El número de combinaciones de cómo hacerlo da al atacante muchas alternativas para saltarse las protecciones recién introducidas. Esto significa que una capa de protección no es suficiente y, sólo una postura de seguridad de varias capas, proporcionaría una protección robusta.

«Esta vulnerabilidad, debido a la complejidad para parchearla y a la facilidad para explotarla, permanecerá con nosotros durante años, a menos que las empresas y los servicios tomen medidas inmediatas para evitar ataques a sus productos», avisan en Check Point..

La amenaza es «inminente» y «actúa como una ciberpandemia: es altamente contagiosa, se propaga rápidamente y tiene múltiples variantes, lo que obliga a que haya más formas de atacar».

Este fallo se une a la atmósfera general de ciberpandemia en la que las principales vulnerabilidades en el software y los servicios populares afectan a un enorme número de organizaciones.

Desde Check Point Software ya han evitado más de 845.000 intentos de asignación de la vulnerabilidad, y más del 46% de esos intentos fueron realizados por grupos maliciosos conocidos. Hasta ahora se ha observado un intento de explotación en más del 40% de las redes corporativas a escala mundial.

Check Point ya ha lanzado una nueva protección para las Quantum Gateway impulsada por Threat Cloud, diseñada para prevenir este ataque, y mantener la protección. Para ello, las Quantum gateways deben estar actualizadas con las nuevas protecciones automáticas. En caso contrario, se deberá implementar una nueva barrera de protección siguiendo las directrices aquí detalladas. Desde la compañía instan a los equipos de TI y de seguridad a que tomen medidas de corrección inmediatas al respecto.

La arquitectura de Check Point Infinity no se ve afectada por Log4j. La compañía ha verificado a fondo que la vulnerabilidad no afecta a su cartera de Infinity, incluyendo Quantum Gateways, SMART Management, Harmony Endpoint, Harmony Mobile, ThreatCloud y CloudGuard.

Además, Apache ha proporcionado un parche (Log4j 2.15.0) para mitigar la vulnerabilidad. Los usuarios pueden actualizar su versión en consecuencia.

«Es muy importante destacar la gravedad de esta amenaza. A primera vista, está dirigida a los mineros de criptomonedas, pero creemos que crea el tipo de ruido de fondo que los ciberdelincuentes tratarán de aprovechar para atacar toda una serie de objetivos de alto valor, como los bancos, la protección del Estado y las infraestructuras críticas. Empezamos a aplicar nuestra protección el viernes y el domingo ya habíamos evitado más de 400.000 intentos de explotar la vulnerabilidad en más de un tercio de todas las redes corporativas del mundo. Lo más preocupante es el hecho de que casi la mitad de esos intentos fueron realizados por grupos maliciosos conocidos. Los equipos de seguridad deben actuar con la máxima urgencia, ya que el potencial de daño es incalculable. La necesidad de una respuesta rápida se ve acentuada por el hecho de que se descubrió al final de la semana laboral, en el período previo a la temporada de vacaciones, cuando los técnicos pueden ser más lentos en la aplicación de medidas de protección. En Check Point Software llevamos varios meses dando la voz de alarma sobre una «ciberpandemia» y esto es exactamente a lo que nos referimos. Es muy contagiosa y se propaga rápidamente, por lo que es esencial una vigilancia constante y una estrategia de prevención sólida», alerta Lotem Finkelstein, director de inteligencia de amenazas e investigación de Check Point Software Technologies.