fb
Logo agencia SEO Idital
Log4j

Índice de contenido

Apache Log4j y su vulnerabilidad crítica

La Apache Software Foundation ha publicado una serie de soluciones para contener la vulnerabilidad que ese explotaba de forma activa y que afectaba a Apache Log4j. Esta se basaba en Java, que es una de las bibliotecas más empleada y que se podía emplear como un arma para poder ejecutar código malicioso para tomar el control total de los sistemas que han sido hackeados.

El problema generado Log4j

Este problema, que ha sido descubierto por el equipo de seguridad de la empresa Alibaba, conocido como Log4shell y etiquetado como CVE-2021-44228, se refiere a la ejecución remota de un código no autenticado en la aplicación que use código abierto y para versiones no parcheadas. Las versiones vulnerables son desde la 2.0 beta9 hasta la 2.14.1. Esta falla de seguridad se ha puntuado con un 10/10 en el sistema de clasificación CVSS, lo que hace referencia a la gravedad de este problema. 

El acceso, y, por tanto, la vulnerabilidad, se consigue a través de una única línea de texto, lo que conlleva la comunicación con un host externo, lo que da al atacante la posibilidad de recuperar una carga desde un servidor externo y ejecutarlo de forma local. Desde Apache, se recomienda actualizar los sistemas de forma inmediata a la versión 2.15.0 que han liberado, lo cual soluciona el fallo, ya que imposibilita recibir un ataque, al no poder ejecutar un código cargado desde los servidores LDAP.

Log4Jam en Apache

Bharat Jogi, parte del departamente de ciberseguridad de Qualys, decía que “la vulnerabilidad de día cero de Apache Log4j es, probablemente, la más crítica que hemos visto este año”. Y es que resulta que el Log4j es una biblioteca empleada por millones de aplicaciones basadas en Java para registrar los mensajes de error. 

Alguno de los softwares que emplean Log4j son Apple iCloud, Cisco, Red Hat, Tesla, Steam o Twitter, entre otros. En estos softwares, los atacantes han podido explotar la vulnerabilidad con tan solo pegar un mensaje diseñado específicamente para ello en el cuadro del chat. El gran problema, como vemos, es que es un ataque que requiere de baja habilidad, pero que es tremendamente sencillo de ejecutar. 

INFORMACION BÁSICA SOBRE PROTECCION DE DATOS PERSONALES Responsable: INTERTRAFOR S.L. Finalidad: Responderle a la consulta realizada, así como para enviarle, información comercial de nuestros productos y servicios. Legitimación: su propio consentimiento, el interés legítimo. Destinatario: no cederemos sus datos a terceros, salvo obligación legal. Derechos: puede ejercitar los derechos de acceso, rectificación o supresión de datos, así como disponer de otros derechos en contacto@idital.com Así mismo, le informamos que si no desea recibir información comercial de nuestros productos y servicios nos lo comunique en el cuerpo del mensaje (en el formulario anterior) o nos escriba a la dirección electrónica señalada en el párrafo anterior. Información adicional: www.idital.com