La falla de seguridad que podría afectar a todo Internet

Durante la semana pasada, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA, por sus siglas en inglés) del Departamento de Seguridad Nacional de Estados Unidos, alertó sobre la vulnerabilidad de ‘Log4j’, un software basado en Java que las grandes organizaciones emplean para configurar sus aplicaciones.

“CISA está trabajando en estrecha colaboración con nuestros socios del sector público y privado para abordar de manera proactiva una vulnerabilidad crítica que afecta a los productos que contienen la biblioteca de software ‘Log4j’”, expresó Jen Easterly, directora de CISA, mediante un comunicado publicado el 11 de diciembre en la página web oficial de la Agencia de Ciberseguridad.

“Esta vulnerabilidad, que está siendo ampliamente explotada por un conjunto creciente de actores de amenazas, presenta un desafío urgente para los defensores de la red dado su amplio uso. Los usuarios finales dependerán de sus proveedores, y la comunidad de proveedores debe identificar y mitigar inmediatamente la amplia gama de productos que utilizan este software. Los proveedores también deben comunicarse con sus clientes para garantizar que los usuarios finales sepan que su producto contiene esta vulnerabilidad y deben priorizar las actualizaciones de software”, agregó Easterly.

¿Dónde está presente ‘Log4j’?

El software ‘Log4j’ es una de las bibliotecas de registro más populares en Internet, la cual ofrece a los desarrolladores un mecanismo para crear registros de la actividad que se utiliza para diversos fines, como la resolución de problemas, la auditoría y el seguimiento de datos. Se trata de un código abierto y gratuito, por lo que es ampliamente usado en diferentes servicios de la web, según expertos en ciberseguridad citados por la cadena CNN.

Asimismo, agregan que el software ‘Log4j’ está presente en servicios de computación y tecnología usados en todo el mundo, por ejemplo, en la nube de Apple, la empresa de seguridad Cloudflare y en uno de los juegos más populares en la actualidad, Minecraft. Otras compañías reconocidas que lo ejecutan son IBM, Oracle, Cisco, Google y Amazon.

“Es omnipresente. Incluso si eres un desarrollador que no utiliza ‘Log4j’ directamente, es posible que estés ejecutando el código vulnerable porque una de las bibliotecas de código abierto que utilizas depende de ‘Log4j’”, detalló Chris Eng, jefe de investigación de la firma de ciberseguridad Veracode, a la cadena de noticias internacional.

Un grave riesgo para Internet

La vulnerabilidad de ‘Log4j’, debido a su uso masivo en servicios de Internet en todo el mundo, podría representar un riesgo enorme. Por esta razón, desde la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) se han tomado “medidas urgentes” para impulsar su mitigación y detectar cualquier amenaza asociada.

“Para ser claros, esta vulnerabilidad representa un grave riesgo. Solo minimizaremos los impactos potenciales a través de esfuerzos de colaboración entre el gobierno y el sector privado. Instamos a todas las organizaciones a unirse a nosotros en este esfuerzo esencial y tomar medidas”, apuntó Jen Easterly, directora de CISA.

De hecho, el fallo de ‘Log4j’ también ha sido aprovechada por cibercriminales, según la empresa de ciberseguridad Cloudflare. El CEO de la compañía, Matthew Prince, dijo en su cuenta de Twitter que “la evidencia más antigua que hemos encontrado hasta ahora de ‘#Log4J exploit’ es 2021-12-01 (...). Eso sugiere que estuvo en la naturaleza al menos nueve días antes de ser divulgado públicamente. Sin embargo, no se aprecia evidencia de explotación masiva hasta después de la divulgación pública”.

La preocupación de los expertos frente la vulnerabilidad de ‘Log4j’ radica en que puede ser aprovechada por los cibercriminales para acceder a los servidores de una empresa, además, esto les permitiría acceder a otras partes de la red, según puntualizó David Kennedy, CEO de la firma de ciberseguridad TrustedSec, citado por la cadena CNN.

Como parte del proceso para mitigar las vulnerabilidades identificadas en ‘Log4j’, Apache Software Foundation, una organización sin ánimo de lucro que desarrolló este software así como otros de código abierto, publicó una corrección de seguridad para que las organizaciones que utilizan el código lo actualicen.

En su comunicado, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) recomendó a los propietarios activos tomar tres pasos “adicionales e inmediatos” con respecto a la vulnerabilidad de ‘Log4j’:

• Enumerar cualquier dispositivo externo que tenga instalado ‘Log4j’.
• Asegurarse de que su centro de operaciones de seguridad esté procesando cada alerta en los dispositivos que tengan instalado el software.
• Instalar un firewall de aplicaciones web (WAF) con reglas que se actualicen automáticamente para que su SOC (Centro de Operaciones de Seguridad) pueda concentrarse en menos alertas.

“Este esfuerzo también subraya la urgencia de construir software de forma segura desde el principio y un uso más generalizado de la Lista de Materiales de Software (SBOM), ambos dirigidos por el presidente Joe Biden en su Orden Ejecutiva emitida en mayo de 2021. Un SBOM proporcionaría a los usuarios finales la transparencia que necesitan para saber si sus productos dependen de bibliotecas de software vulnerables”, concluyó Jen Easterly, directora de CISA.