¿Qué es el exploit Log4j y qué puede hacer para mantenerse a salvo?

El exploit Log4j, llamado Log4Shell o CVE-2021-44228 para algunos, ha sido noticia en las últimas semanas. ¡Es malo! ¡Está en todas partes! Pero, ¿qué es realmente? ¿Cómo llegó a millones de servidores? ¿Y cómo puede protegerse de las consecuencias de este agujero de seguridad?

Eso no es datos, ¡eso es código!

En el corazón del problema con Log4j hay una confusión entre datos simples y comandos ejecutables. Los programadores malintencionados han estado explotando este tipo de confusión prácticamente desde siempre.

En los días de los virus informáticos basados ​​en DOS, los programas en disco simplemente se copiaban directamente en la memoria y se lanzaban. Los primeros virus se adjuntaban en forma de bloque de datos al final del programa anfitrión. Al ajustar uno o dos bytes al inicio del programa, hicieron que DOS ejecutara el código del virus antes de iniciar el programa. Y el virus se anexó a más programas durante su breve ejecución.

Los programas de Windows, llamados programas ejecutables portátiles (PE), son mucho más sofisticados. Varios bloques de información se cargan en el área de memoria apropiada y esos bloques se marcan como código o datos. Aun así, los malhechores gestionaron ataques que obligaron a ejecutar lo que se suponía que eran datos. Las versiones modernas de Windows utilizan Prevención de ejecución de datos (DEP) y Aleatorización del diseño del espacio de direcciones (ASLR) para frustrar tales ataques.

Java y código abierto

Log4j está escrito en Java, lo que significa que no tiene intrínsecamente protecciones como DEP y ASLR. Por otro lado, es un paquete de código abierto. Eso significa que cualquiera (bueno, cualquiera con habilidades de codificación) puede leer el código fuente, detectar cualquier error y contribuir a mejorar el paquete.

La teoría es que el código de fuente abierta es más seguro porque ha sido examinado por muchos pares de ojos y porque no hay posibilidad de que se esconda una puerta trasera o alguna otra característica no deseada en el código. Cuando la biblioteca involucrada es muy sensible, quizás involucrando cifrado, realmente se somete a un escrutinio serio. Pero aparentemente este simple módulo de escritura de registros no recibió suficiente atención.

¿Por qué está en todas partes?

Cuando hay un agujero de seguridad en un sistema operativo o un navegador popular, generalmente afecta solo a los usuarios de ese sistema operativo o ese navegador. El editor crea una nueva versión que corrige el problema, lanza una actualización y todo está bien.

Log4j es diferente. No es un sistema operativo, ni un navegador, ni siquiera un programa. Más bien, es lo que los codificadores llaman biblioteca, paquete o módulo de código. Tiene un propósito: mantener un registro de lo que sucede en un servidor.

Las personas que escriben código quieren centrarse en lo que hace que su programa sea único. No quieren reinventar la rueda. Por lo tanto, confían en bibliotecas infinitas de código existente, como Log4j. El módulo Log4j proviene de Apache, que es el software de servidor web más utilizado. Y es por eso que se encuentra en millones de servidores.

¿Quién es la víctima aquí?

He aquí un punto importante. Los ataques que utilizan la vulnerabilidad en Log4j son no dirigido a ti. Un pirata informático que lo obliga a registrar una línea de texto que se convierte en un comando tiene como objetivo instalar malware en el servidor. Microsoft informa que los piratas informáticos patrocinados por el estado lo están utilizando, probablemente para impulsar el ransomware. Apple, Cloudflare, Twitter, Valve y otras grandes empresas se han visto afectadas.

Es posible que haya visto (o hojeado) un video de YouTube en el que un investigador de seguridad demostró hacerse cargo de un servidor de Minecraft usando nada más que el chat en el juego. Eso no significa que afectó a los jugadores involucrados en el chat. Significa que el investigador forzó la servidor para ejecutar código arbitrario.

Recomendado por nuestros editores

Pero no te relajes todavía. Un hacker que puede ejecutar código arbitrario en el servidor afectado tiene opciones ilimitadas. Claro, un ataque de ransomware contra el propietario del servidor podría ser bastante lucrativo, al igual que la cooptación del servidor para minar bitcoins. Pero también es posible que el pirata informático pueda subvertir el servidor, provocando que inflija malware a los visitantes de los sitios web alojados en ese servidor.

¿Que puedo hacer?

El exploit Log4j es solo uno de los muchos agujeros de seguridad que están siendo explotados por los malos actores. El CISA catálogo de vulnerabilidades explotadas listas 20 encontradas solo en diciembre. Si mira de cerca, verá que algunos ya están arreglados, pero otros tienen un arreglo que no debe realizarse hasta dentro de seis meses o más. Por supuesto, pocos tendrán el impacto del exploit Log4j.

En cuanto a la protección contra Log4j en el lado del servidor, es ridículamente simple. Hay una configuración que controla si el sistema de registro puede interpretar los datos como código. Apagar ese interruptor funciona. Naturalmente, Apache ha lanzado una actualización del módulo de código, pero algunos investigadores informan que el único cambio significativo en la actualización es que este interruptor está desactivado por defecto.

Como se señaló, Log4j es un código diseñado para servidores y el ataque de explotación afecta a los servidores. Aún así, puede verse afectado indirectamente si un pirata informático lo usa para eliminar un servidor que es importante para usted o si intenta usar el servidor para descargas no autorizadas u otros ataques de malware.

No hay nada Uds puede hacer para evitar el impacto de la eliminación de un servidor, pero poder Protéjase contra esos ataques secundarios instalando una potente utilidad antivirus y manteniéndola actualizada. Haga su parte manteniéndose alerta a los fraudes de phishing, utilizando un administrador de contraseñas y ejecutando su tráfico de Internet a través de una red privada virtual o VPN. Mantener sus propios datos, dispositivos y conexiones seguros significa que es poco probable que se vea afectado por las consecuencias de un ataque de explotación de Log4j.

Similar Posts

Leave a Reply

Your email address will not be published.