El Bundesamt für Sicherheit in der Informationstechnik (BSI), la contraparte alemana de la Agencia Nacional para la Seguridad de los Sistemas de Información (Anssi), anunció el 10 de diciembre de 2021 el descubrimiento de una vulnerabilidad en la biblioteca de código abierto de registro Log4j, desarrollada por Apache. Las versiones 2.0 a 2.14.1 se ven afectadas. Según los informes, la falla fue detectada por primera vez por el equipo de seguridad de Alibaba Cloud y notificada a Apache el 24 de noviembre de 2021, informa computadora pitido.

Esta biblioteca se usa con mucha frecuencia en proyectos de desarrollo de Java/J2EE, así como por los editores de soluciones de software disponibles en el mercado basadas en Java/J2EE, como explica el Government Center for Monitoring, Alerting and Responding to Computer Attacks (CERT-FR) ), un cuerpo de Anssi. Por lo tanto, la falla afecta a un número muy grande de víctimas potenciales.

Ejecutar código arbitrario sin autenticación
Esta vulnerabilidad, denominada «Log4Shell«, permite que un actor malicioso ejecute código arbitrario de forma remota si tiene la capacidad de enviar datos a una aplicación que usa la biblioteca log4j para registrar el evento. Peor aún, este ataque puede llevarse a cabo sin estar autenticado, por ejemplo, aprovechando de una página de autenticación que registra errores de autenticación, alerta CERT-FR. El domingo 12 de diciembre agregó que esta falla fue efectivamente explotada. Desde entonces, la información ha sido confirmada por varias autoridades nacionales responsables de la ciberseguridad.

En la práctica, un actor malicioso podría acceder a toda la información contenida en un sitio web, incluidos los datos personales que se encuentran allí, mediante la ejecución de malware en un sitio objetivo.

«Una amenaza extremadamente crítica»
Esta vulnerabilidad conduce a «una amenaza extremadamente crítica«, alerta la BSI, porque el uso de Log4j es «extendido“. Así, el incumplimiento tiene consecuencias sobre”innumerables productos«. De hecho, incluso si la entidad no usa Java directamente, puede usarlo a través de productos que usan la biblioteca de registro indirectamente. Este es el caso de una gran cantidad de software cuya lista ha sido proporcionada por CERT Nueva Zelanda e incluye Struts2, Solr, Flink, ElasticSearch, Kafka, Druid, pero también Minecraft, Azure, iCloud (Apple), Steam y Oracle.

Como era de esperar, Anssi recomienda encarecidamente utilizar la versión 2.15.0 lo antes posible. Además, muchos editores que usan Log4j están lanzando parches gradualmente. Sin embargo, en caso de dificultades para migrar a esta versión, es posible que se apliquen medidas alternativas temporalmente. Por lo tanto, es fundamental que las empresas y entidades públicas mapeen todos los sistemas y software que utilizan Log4j en su entorno y luego tomen las medidas adecuadas.

Quebec cierra 3992 sitios y servicios
Los países ya han ido mucho más lejos para evitar que esta vulnerabilidad cause demasiado daño. La prensa informa el lunes 13 de diciembre que la ciudad de Quebec (región canadiense) ordenó este domingo el cierre preventivo de todos sus sistemas informáticos accesibles desde Internet, es decir, 3.992 sitios y servicios. «Actualmente no hay indicios de que los sistemas de la Agencia se hayan visto comprometidos o que se haya producido un acceso no autorizado a la información de los contribuyentes debido a esta vulnerabilidad.«, dijo la Agencia de Ingresos de Canadá (CRA). Las ciudades de Ottawa y Montreal han seguido su ejemplo. Francia no ha tomado una decisión similar por el momento.

Para el gobierno de Quebec, el mensaje es claro: «la amenaza de daño fue mayor que el daño de cerrar todos los sistemas gubernamentales accesibles desde Internet»ha explicado el Ministro Delegado para la Transformación Digital, Éric Caire, durante una rueda de prensa en compañía del Chief Information Officer, Pierre Rodrigue, citado por La prensa.