Log4Shell, la nueva vulnerabilidad zero-day que afecta a Log4j
Parece que los robos de datos, los fallos de seguridad o las vulnerabilidades de los sistemas están a la orden del día. Esta vez se ha descubierto Log4Shell, una vulnerabilidad zero-day en una librería Java, sobre la que muchos opinan puede ser la peor de la historia.
¿Qué ha ocurrido con Log4Shell?
Log4Shell es el nombre que, como comentábamos anteriormente, se le ha dado a una vulnerabilidad encontrada en la librería Log4j; usada en muchos sistemas empresariales y aplicaciones web. Prácticamente todos los servicios que se basan en Java utilizan Log4j. Por el momento el problema ya ha afectado a los servidores de Minecraft, pero puede extenderse a otros servicios y aplicaciones. También el CEO de Cloudflare ha advertido acerca del problema y ha asegurado que su compañía estaba trabajando por mitigarlo, tanto en sus servicios gratuitos como los de pago.
Principalmente, Log4Shell se basa en que un atacante puede, mediante un fragmento de código, ejecutarlo de forma remota. Esto se debe a que al enviarse ese código pasa al registro de Log4j que, en sus últimas versiones, parece otorgar privilegios de administrador.
Según Cloudflare la cifra de ataques por Log4Shell se sitúa en torno a los 24.600 por minuto; lo que supone unos 35.500.000 de ataques al día. Esto significa que lo más probable es que cualquier sitio web que utilice Log4j y que no haya sido parcheado aun, ya habrá sido detectado y seguramente atacado.
¿Cómo solucionarlo?
Pese a todo el miedo que pueda despertar, existe un parche que lo corrige. El problema es que no está en la mano de los usuarios, sino de los administradores de sistemas; puesto que Log4j facilita la monitorización de aplicaciones al registrar la actividad de Apache. Por su parte, Apache ha publicado su parche y ha calificado la vulnerabilidad con un 10 de peligrosidad en su escala. Entre otras cosas, Log4Shell es una vulnerabilidad muy peculiar, además de extrañamente llamativa.
Por un lado, se trata de una librería fundamental en muchos sistemas y plataformas, pero cuyo mantenimiento se limita a tres desarrolladores que se encargan de actualizarla y mejorarla en sus ratos libres. Los desarrolladores encargados del mantenimiento han publicado los parches correspondientes para que cualquier administrador pueda aplicarlo y evitar problemas en sus sistemas. Para los usuarios finales realmente poco hay contra Log4Shell que puedan hacer.
En primer lugar, porque es posible que no sepan si utilizan o no Log4j, y, por tanto, estén afectados por Log4Shell; en segundo lugar, porque pueden no tener los conocimientos suficientes para conseguir aplicar el parche.
Si tienes alguna duda acerca de Log4Shell, te recomendamos contactar con el desarrollador de tu web o acudir a alguien experto en informática o en la administración de sistemas. Ya que de estar empleando esta librería en tu proyecto web, podría desembocar en algún problema más grave. Como siempre, recuerda que es muy importante mantener los sistemas y aplicaciones actualizados para evitar este tipo de situaciones.