Nos quedan pocos días para despedir 2021, y ya pensábamos que iba a estar tranquilo en cuanto al tema de la ciberseguridad, pero eso no va a ser así.
Hace unos días se ha descubierto una vulnerabilidad tipo zero-day, cuya puntuación de criticidad es de la máxima en la escala (10 de 10). Esta vulnerabilidad afecta a una librería Java que se usa en diversos sistemas empresariales y web, por ejemplo, Steam, Apple iCloud, Amazon, Cisco …que se denomina Log4j
El caso más sonado ha sido el de los servidores de Minecraft, que han sido hackeados mediante un sencillo mensaje en el chat del juego.
¿Qué es el Log4j?
Es una biblioteca de código abierto desarrollada en lenguaje Java por Apache Software Foundation, teniendo esta empresa de desarrollo de software, una gran popularidad de uso. Este Framework se utiliza como una herramienta de logging que permite a los desarrolladores escribir mensajes de registro de logs.
¿En qué consiste Log4Shell?
Es una vulnerabilidad que permite la ejecución remota de código por parte de un atacante hacia un servidor que tenga este agujero de seguridad. También es posible que el ataque se ejecute sobre sistemas que no estén conectados a Internet, si el ciberdelincuente consigue acceder a la red interna.
El sistema se puede explotar fácilmente mediante un payload porque la librería Log4j almacena la conexión HTTP/Web como si fuera un registro legítimo. Debido a este fallo, se inicia un tráfico del tipo LDAP (Protocolo ligero de acceso a directorios) en un servidor que está controlado por un atacante desde JNDI (JavaNaming and Directory Interface). Con el control en las manos del ciberdelincuente, el nodo responderá a un archivo de clase Java malicioso que se ejecutará en el servidor de la víctima.
Este tipo de ataques permite a los ciberdelincuentes la capacidad de acceder a los servidores sin la autorización del propietario, pudiendo cambiar con total libertad el código, añadiendo código malicioso, a su antojo, sin ningún tipo de restricción y lo peor es que no te enteras hasta que quizás ya es demasiado tarde.
¿Cómo protegerse?
Lo primero es revisar que sistemas, programas, aplicaciones… instalados están afectados por este fallo de seguridad y que usen apache como software de servicio.
Una vez identificados, ejecuta las siguientes tareas de ajuste para solucionar la vulnerabilidad:
Detecta la presencia de Log4j en tus sistemas de Linux y Windows
Con este script, se busca el archivo JndiLookup.class defectuoso en cualquier archivo .jar de su sistema.
Linux
sudo grep -r –include «*.jar» JndiLookup.class /
Windows
findstr /s /i /c:»JndiLookup.class» C:\*.jar
Actualiza a la última versión
Las versiones problemáticas son las que van desde la versión 2.0-beta9 hasta la 2.14.1. Actualizando a la última versión que es la 2.16.0, se soluciona el fallo de seguridad.
Mantener al día las actualizaciones disponibles, es una de las medidas más certeras en cuanto a ciberseguridad, ya que las actualizaciones suelen venir con nuevos parches de seguridad que solucionan vulnerabilidades.
Detecta los intentos de explotación de la vulnerabilidad en los logs
Este script busca intentos de explotación en ficheros sin descomprimir dentro del directorio para logs de Linux.
Grep
sudo egrep -I -i -r ‘\$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+’ /var/log
Zgrep
sudo find /var/log -name \*.gz -print0 | xargs -0 zgrep -E -i ‘\$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+
Después de ejecutar estos scripts, viendo si se encontró la librería Log4j y si han existido intentos de explotación, el siguiente paso sería guardar los resultados para conocer de primera mano que sistemas tenemos vulnerables.
Bloquea las direcciones IP sospechosas
Por último, bloquea las direcciones IP que son sospechosas mediante tu firewall o con un sistema de prevención de intrusos.
Otras medidas
Si no has podido actualizar o identificar la biblioteca Log4j, implementa estas medidas adicionales:
- Bloquea los puertos estándar para LDAP, LDAPS y RMI (389, 636, 1099, 1389).
- Implementa IPS y WAF para la detección y la respuesta.
- Si no puedes actualizar a la última versión, elimina la clase JndiLookup desde classpath.
Conclusión
Esta es una de las vulnerabilidades más peligrosas de los últimos años. Los ciberdelincuentes están rastreando en internet servicios que cuenten con esta vulnerabilidad, para identificar su objetivo y luego perpetrar el ataque.
Sigue los pasos vistos anteriormente para que no sufráis del riesgo de un posible ataque y recordad la importancia de contar con un plan de ciberseguridad, actualizando siempre todos vuestros sistemas y teniendo un equipo técnico especializado de respaldo entre otras medidas como la implementación de un cortafuegos de aplicaciones y un anti-malware de última generación.
—————————————————————————————————
Contacta con nosotros en el correo soluciones@mrhouston.net o en el teléfono 91 432 0286
Síguenos en Twitter y LinkedIn, y suscríbete a nuestro blog, donde publicamos consejos sobre la actualidad tecnológica.
