Ha sucedido justo antes de acabar el 2021, pero se podría dar en cualquier otro momento: una vulnerabilidad crítica que afecta a millones de sistemas, usuarios y productos alrededor del mundo.
Se trata del problema detectado en Apache Log4j, una biblioteca open source desarrollada por Apache Software Foundation, y al que se le ha dado el nombre de Log4Shell. La detección de un agujero de seguridad inmenso que permite introducir un mensaje que podía dar acceso a ejecutar código de forma remota ha activado todas las alarmas.
Larga lista de afectados
Al ser una librería utilizada en muchos productos comerciales y en desarrollos propios basados en Java, la lista de elementos afectados es inmensa, como detallan en INCIBE-CERT. De hecho, Log4Shell ha sido calificada como la vulnerabilidad más crítica de la última década justamente por la dificultad de determinar a cuántos usuarios afecta. Entre las empresas relevantes afectadas destacan los fabricantes de Sistemas de Control Industrial como Philips o Siemens.
En consecuencia, no se han hecho esperar las páginas de información sobre las aplicaciones basadas en software libre que ayudan al escaneo y la detección de problemas y aplicaciones potencialmente vulnerables.
¿Dónde se ha detectado el problema?
El hallazgo lo ha hecho durante la segunda semana de diciembre Chen Zhaojun, investigador de Alibaba Cloud Security Team, en las versiones 2.0-beta9 y 2.14.1 de Apache Log4j.
El fallo se ha detectado a través del popular videojuego Minecraft: a través de su chat interno, el hacker podía enviar un pedazo de código malicioso que le otorgaba acceso remoto al sistema atacado.
El fallo ha sido descrito como “problema de diseño de proporciones catastróficas”, en palabras de Free Wortley, CEO de la plataforma de seguridad LunaSec. El índice de peligrosidad adjudicado por el CVSS (Common Vulnerability Scoring System) a esta vulnerabilidad ha sido de 10 sobre 10.
Medidas a corto plazo
Hay que tener en cuenta que, al tratarse de una vulnerabilidad zero-day (nunca antes detectada), aún no se tiene solución definitiva por parte de los desarrolladores de Apache, aunque se está trabajando a contracorriente para publicar los parches y actualizaciones de seguridad que solucionen este problema.
Ahora mismo hay dos opciones:
1. Para los administradores: descargar la versión 2.15 de Apache Log4j y, de este modo, tapar el “agujero”. Es una versión que es temporal hasta que se resuelvan todos los problemas, pero ya es una gran medida.
De hecho, según Karspesky, casi todas las versiones de Log4j son vulnerables, desde la 2.0-beta9 hasta la 2.14.1, y es por eso que por ahora el método de protección más simple y eficaz es instalar la versión más reciente de la biblioteca.
2. Para los usuarios: mantener actualizado todo lo que podamos de nuestros sistemas. Es altamente recomendable, además, que también se active un programa para la detección de virus. Esto no es nuevo y, de hecho, debería ser la herramienta de medida de prevención permanente de nuestros dispositivos. Ahí puede estar la gran diferencia entre un sistema afectado o uno que no lo esté.
La importancia de las actualizaciones para estar sobreprotegidos
Noticias como esta ponen de manifiesto que es necesaria una mayor concienciación de la seguridad a nivel digital. Por eso son importantes las actualizaciones de seguridad y de los sistemas operativos, y desarrollar prácticas digitalmente seguras como usuarios. Solo así podremos estar tranquilos sabiendo que nuestros datos estarán a salvo.
