Se ha descubierto una vulnerabilidad muy grave en el popular paquete de registro basado en Java Log4j. Esta vulnerabilidad permite a un atacante ejecutar código en un servidor remoto; lo que se conoce como Ejecución Remota de Código (RCE). Debido al uso generalizado de Java y Log4j, esta es probablemente una de las vulnerabilidades más graves en Internet desde Heartbleed y ShellShock.
Los responsables de estas dos botnets (red de ordenadores infectados) buscan comprometer dispositivos y servidores para sumarlos a su red de equipos bajo su control con el fin de distribuir malware para minar criptomonedas y realizar ataques DDoS (de denegación de servicio).
¿Qué es Log4j?
Log4j es una biblioteca de código abierto desarrollada en Java
Es CVE-2021-44228 y afecta a la versión 2 de Log4j entre las versiones 2.0-beta-9 y 2.14.1. Está parcheado en la 2.16.0.
Permite a los desarrolladores de software escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución.
Log4j permite filtrar los mensajes en función de su importancia. La configuración de salida y granularidad de los mensajes es realizada en tiempo de ejecución mediante el uso de archivos de configuración externos.
Si tu empresa utiliza software basado en Java que utiliza Log4j deberías leer inmediatamente la sección sobre cómo mitigar y proteger tus sistemas antes de leer el resto.
Cómo mitigar CVE-2021-44228
Para mitigarlo existen las siguientes opciones (ver el aviso de Apache aquí):
- Actualizar a Log4j v2.16.0
- Si está utilizando Log4j v2.10 o superior, y no puede actualizar, entonces establezca la propiedad
log4j2.formatMsgNoLookups=true
Además, se puede establecer una variable de entorno para estas mismas versiones afectadas
LOG4J_FORMAT_MSG_NO_LOOKUPS=true
- O eliminar la clase JndiLookup del classpath. Por ejemplo, puede ejecutar un comando como:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
para eliminar la clase del núcleo de log4j.
Si tiene consultas sobre el proceso, no dude en comunicarse con nuestros especialistas en seguridad.
Podemos acompañarte en tus proyectos end-to-end. Trabajemos juntos.