Log4shell sigue causando estragos en los sistemas y ya afecta a más de 3.000 de dispositivos en todo el mundo según la firma Marsh

Cuando todo apuntaba a una Navidad medio tranquila en cuanto a ciberseguridad, la aparición de Log4Shell ha dado la vuelta a todo. Esta vulnerabilidad, de la cual ya hemos informado días atrás, está poniendo en jaque a servidores en la nube y software empresarial que hacen uso de la herramienta Log4j2. Su facilidad de uso, y el hecho de ser gratuita, ha provocado que las empresas apuesten por su uso, pero sin tener en cuenta algunos aspectos; entre ellos no verificar si contaba con fallos. La vulnerabilidad ha sido catalogada como de «Extrema Gravedad«, y su explotación puede generar diversos problemas: despliegue de ransomware, instalación de malware, extracción de información… De hecho, ya los está generando y el impacto a nivel mundial puede ser devastador, especialmente si nos atenemos a los datos dados por la firma Marsh. Log4shell sigue causando estragos en los sistemas.

Según ha revelado la compañía, experta en análisis de riesgos, la vulnerabilidad Log4shell ya afecta a más de 3.000 millones de sistemas. La cifra es escandalosa, y una prueba fehaciente de la magnitud del problema que podría avecinarse si no se toman medidas. De momento, el creador de esta herramienta, ya ha puesto varias actualizaciones a disposición de los afectados. Eso sí, la situación está lejos de ser solucionada al 100%. Los efectos causados por esta vulnerabilidad pueden llegar a causar un colapso total. Además de los ya mencionados anteriormente, la vulnerabilidad podría dar acceso a las redes internas a agentes externos. Esto se traduce en que podrían controlar totalmente los servidores afectados. Lo peor es que la facilidad para hacerlo es altísima pues permite la ejecución remota de código sin autenticación. Empresas como Apple, Amazon o Steam (plataforma de videojuegos), entre otras, están en riesgo grave de afectación.

Consejos para reducir el riesgo de Log4Shell

• Aplicación de parches. Instalar la actualización de software lanzada por Apache en Log4j. También es importante revisar las recomendaciones y actualizaciones de los proveedores para todas las plataformas de software empresarial en uso. También en cualquier sistema operativo subyacente e integraciones empresariales. Asegúrate de que tus proveedores externos también hayan parcheado el software que utilizan.
• Implementación de defensas periféricas. Aplicar reglas de firewall de aplicaciones web con el fin de mitigar los intentos de explotación comunes como parte de una estrategia integral de defensa.
• Protección de credenciales de los servidores. Restringir el acceso a variables de entorno y credenciales locales almacenadas en los pipelines de CI/CD para minimizar los riesgos inmediatos que puedan plantear los atacantes. Si una aplicación requiere que se entregue un secreto en una variable de entorno, se recomienda usar un administrador de secretos que ayude a garantizar que solo los usuarios autenticados obtengan acceso a los secretos de texto sin cifrar.
• Protección de los activos de Nivel 0. Permite solo el acceso privilegiado a un servidor bastión específico para restringir el acceso a activos de nivel 0 como Active Directory y los flujos de trabajo de orquestación de DevOps.
• Implementar privilegio mínimo tanto para servicios como usuarios. Es fundamental para mitigar el riesgo de un ataque dirigido. Restringir el acceso al nivel mínimo necesario y eliminarlo cuando ya no sea necesario puede ser de gran ayuda para ralentizar o detener el avance de un atacante, ya que se evita el movimiento lateral y, en última instancia, minimiza el impacto general.
• Habilitación de la autenticación multifactor. Es mucho más probable que los atacantes tengan éxito cuando no tienen que proporcionar un segundo factor de autenticación u otra aprobación para insertar su código. Se recomienda activarla cuando sea posible.