¿Qué es la vulnerabilidad de Apache Log4J (Log4Shell)?
Desmantele sus silos de seguridad y refuerce sus defensas con el poder de una única plataforma de ciberseguridad.
Log4Shell (CVE-2021-44228, CVE-2021-45046 y CVE-2021-45105) es una vulnerabilidad de ejecución remota de código (RCE) que permite a los agentes maliciosos ejecutar código Java arbitrario, tomando el control de un servidor de destino.
Descripción general de la vulnerabilidad Log4Shell
2021 fue un año muy intenso para las vulnerabilidades de día cero que tuvieron su coronación con Log4Shell, el cual es un fallo crítico encontrado en la ampliamente utilizada biblioteca de inicio de sesión con base en Java, Apache Log4j. Oficialmente identificada como CVE-2021-44228, el Common Vulnerability Scoring System (CVSS) le otorga una puntuación de gravedad de 10 en una escala de 10 (CVSS v3.1).
La vulnerabilidad se comunicó en primera instancia de forma privada a Apache el 24 de noviembre de 2021. El 9 de diciembre de 2021, Log4Shell se divulgó públicamente y se lanzó un parche inicial con la versión 2.15.0 de Apache Log4j.
Las posteriores noticias de ataques observados de libre circulación provocaron que diversas agencias de ciberseguridad nacional emitieran alertas, incluida la Agencia de seguridad cibernética e infraestructura (CISA) de EE. UU., el Centro nacional de ciberseguridad (NCSC) del Reino Unido y el Centro canadiense de ciberseguridad. Debido a la popularidad de Apache Log4j, cientos de millones de dispositivos podrían verse afectados.
Funcionamiento de Log4Shell
Log4Shell es una vulnerabilidad por inyección de Java Naming and Directory Interface™ (JNDI), la cual permite la ejecución remota de código (RCE). Al incluir datos que no son de confianza (como rutinas maliciosas) en el mensaje registrado de una versión afectada de Apache Log4j, un atacante puede establecer una conexión a un servidor malicioso mediante una búsqueda de JNDI. El resultado: acceso completo a su sistema desde cualquier lugar del mundo.
Dado que la búsqueda de JNDI admite distintos tipos de directorios, como el servicio de nombres de dominio (DNS), el protocolo ligero de acceso a directorios (LDAP), el cual proporciona información valiosa como los dispositivos de red de la organización, la invocación del método remoto (RMI) y el protocolo inter-ORB (IIOP), Log4Shell puede llevar a otras amenazas como:
- Coinmining (minería de monedas): los atacantes pueden utilizar sus recursos para extraer criptomonedas. Esta amenaza puede ser muy costosa, debido a la enorme cantidad de potencia de procesamiento requerido para ejecutar servicios y aplicaciones en la nube.
- Denegación de servicio (DoS) de red: esta amenaza permite que los atacantes desconecten y/o deshabiliten una red, sitio web o servicio para que la organización atacada no pueda acceder a ellos.
- Ransomware: tras lograr el RCE, los atacantes pueden recopilar y cifrar datos con el fin de pedir posteriormente un rescate por ellos.
A continuación, se muestra una posible cadena de infección:
Complementos, aplicaciones y productos vulnerables
Básicamente, todo dispositivo conectado a internet ejecuta alguna versión entre la 2.0 y la 2.14.1 de Apache Log4j. Las versiones afectadas se incluyen en Apache Struts, Apache Solr, Apache Druid, Elasticsearch, Apache Dubbo y VMware vCenter.
Aplicación de parches y mitigación
Apache lanzó inicialmente la versión 2.15.0 de Apache Log4j con el fin de parchear la vulnerabilidad. Sin embargo, esta versión solo funcionaba con Java 8. Los usuarios de versiones anteriores necesitaban aplicar y volver a aplicar medidas de mitigación temporales. En el momento de esta publicación, Apache lanzó la versión 2.16.0 y avisó a los usuarios que actualizasen lo antes posible sus posibles bibliotecas afectadas.
Se recomienda también encarecidamente la utilización de otras estrategias de mitigación como la aplicación virtual de parches y la utilización de un sistema de prevención/detección de intrusiones (IDS/IPS). La aplicación virtual de parches protege la vulnerabilidad de futuros exploits, mientras que la IDS/IPS inspecciona el acceso y la salida de tráfico en busca de comportamientos sospechosos.
Log4Shell y los Hackers
Acceso inicial
Esta vulnerabilidad es causada por el mecanismo de “lookup” en log4j 2.x. Revisa los caracteres ${ en los registros y activa la función “lookup”, lo que permite formas como las búsquedas JNDI (por ejemplo, ${jndi:logging/context-name}), que admiten protocolos como LDAP y RMI. Un atacante puede usar un servidor LDAP con una clase Java maliciosa para ejecutar código remoto.
Ejecución
Si el exploit tiene éxito, el servidor interpreta la cadena de búsqueda y puede ejecutar comandos arbitrarios en formatos como Java, JavaScript o shell de Unix.
Movimiento lateral
Se ha observado la descarga de componentes Cobeacon, conocidos por facilitar el movimiento lateral y estar vinculados a ataques de ransomware.
Acceso a credenciales
Malware como Kirabash puede robar credenciales exfiltrando los archivos /etc/passwd y /etc/shadow.
Impacto
Se han detectado cargas útiles como el botnet Mirai y el coinminer Kinsing. Los impactos incluyen:
Secuestro de recursos: los coinminers consumen recursos del sistema; Mirai puede usar sistemas infectados como parte de una botnet.
Denegación de servicio (DoS): Mirai puede lanzar ataques DDoS/DoS desde los sistemas comprometidos.
El Impacto de Log4Shell
Descubierta por investigadores de Alibaba el 24 de noviembre de 2021, Log4Shell fue clasificada como una vulnerabilidad crítica con la puntuación máxima de 10.0 en CVSS. Al tratarse de una falla de tipo zero-day en la biblioteca de registros Log4J, ampliamente utilizada, representó un riesgo grave e inmediato antes de que se publicara un parche.
El uso generalizado de Log4J en aplicaciones web, servicios en la nube y sistemas de consumo significó que más del 90 % de los entornos en la nube estaban en riesgo. Muchas organizaciones no sabían que estaban expuestas debido a dependencias indirectas.
Lo que hacía especialmente peligrosa a Log4Shell era su facilidad de explotación: no se necesitaban permisos especiales. Los atacantes podían inyectar código malicioso a través de entradas públicas como formularios de inicio de sesión o cuadros de chat. Una vez activado, podía propagar cargas útiles a otras partes del sistema.
Para el 9 de diciembre, ya circulaba código de explotación público y empresas importantes como Minecraft, Twitter y Cisco fueron afectadas. En su punto máximo, se registraron más de 100 ataques por minuto a nivel mundial.
Los atacantes aprovecharon la falla para desplegar botnets, criptomineros y ransomware (como Khonsari y Night Sky), y también se observó que grupos respaldados por Estados de países como China y Corea del Norte la estaban explotando.
Trend Micro Vision One Platform
Detener a los adversarios más rápido y tomar el control del riesgo cibernético requiere un enfoque unificado. La amplia vulnerabilidad de Log4J expuso lo fácil que es para los atacantes explotar incluso componentes simples, lo que hace que la defensa proactiva e integrada sea esencial.
Trend Vision One te ofrece capacidades de prevención, detección y respuesta impulsadas por IA, respaldadas por inteligencia de amenazas líder. Admite entornos de TI híbridos, automatiza flujos de trabajo de seguridad y simplifica las operaciones, lo que te permite reducir la complejidad, cerrar brechas y anticiparte a las amenazas en evolución.
Apache Log4J
Investigaciones relacionadas
Artículos relacionados