2021 ha sido un año bastante prolífico para los ciberdelincuentes y los incidentes de seguridad informática. Pero el ejercicio aún no ha acabado y pueden surgir nuevas amenazas.
Recientemente ha salido a la luz una vulnerabilidad denominada Log4Shell (CVE-202-44228), que está relacionada con la biblioteca de Java Apache Log4j y que habría sido identificada como la vulnerabilidad de día cero más crítica de este ejercicio. Así, al menos, la ha calificado la firma de soluciones de compliance y seguridad basadas en la nube Qualys.
Sus investigadores destacan que la popularidad de la librería de registro afectada, Apache Log4j, presente en millones de servidores, así como la facilidad con la que puede ser explotada, la hacen una de las más peligrosas de este 2021.
Log4j es una librería desarrollada por Apache Foundation y es ampliamente utilizada tanto por aplicaciones empresariales como por servicios en la nube. Se incluye en frameworks de Java muy populares como son Apache Flink, Apache Druid, Apache Struct2, etc.
Todas las versiones de Log4j2 versiones> = 2.0-beta9 y <= 2.14.1 están afectadas por esta vulnerabilidad. Dada la amplia ubicuidad de esta biblioteca y su facilidad de explotación el impacto de esta vulnerabilidad se prevé bastante severo. Los ataques ya están sucediendo y se han visto exploits de prueba de concepto (PoC) en dominios como Twitter, GitHub, etc.
Una vulnerabilidad de 10
La explotación de Log4Shell da como resultado la ejecución remota de código en el servidor vulnerable con privilegios de nivel de sistema. Por su impacto cuenta con una puntuación CVSS (Sistema de puntuación estandarizado de vulnerabilidades) de 10.0.
“Estamos probablemente ante la vulnerabilidad día cero más crítica de 2021”, ha destacado Bharat Jogi, director del equipo de Investigación de Vulnerabilidades y Amenazas de Qualys.
“Se trata de una librería utilizada por millones de aplicaciones Java y que además es sencilla de explotar. Recomendamos a los usuarios y administradores que actualicen sus aplicaciones a la última versión de Log4j o apliquen las mitigaciones de forma urgente”, añade el responsable.
Apache Log4j2 versión 2.15.0 corrige esta vulnerabilidad.