Log4 sigue siendo un problema, a un año de su descubrimiento 

diciembre 14, 2022 0 Comments

log4j

Log4Shell es uno de los que aparecerán en las filtraciones de datos durante la próxima década

Esta semana marca el primer aniversario del descubrimiento de la vulnerabilidad Log4j/Log4Shell que afecta a la biblioteca de registro de Java. Y es que a pesar de ya haber pasado un año desde el incidente el número de descargas de versiones vulnerables de Log4j sigue siendo elevado, pues se ha calculado alrededor del 30-40% de todas las descargas son para la versión expuesta.

Como se informó recientemente, muchas organizaciones siguen siendo vulnerables a pesar de que las versiones parcheadas pronto estuvieron disponibles.

Para quienes desconocen de la vulnerabilidad, deben saber que es notable porque el ataque se puede llevar a cabo en aplicaciones Java que registran valores obtenidos de fuentes externas, por ejemplo, al mostrar valores problemáticos en mensajes de error.

La vulnerabilidad de Log4j fue una llamada de atención para todas las organizaciones y fue un momento que a muchos profesionales de la seguridad les gustaría olvidar. Sin embargo, con el uso generalizado de Log4j y una red cada vez mayor de servidores internos y de terceros para parchear, la vulnerabilidad se sentirá durante mucho tiempo.

Se observa que casi todos los proyectos que utilizan frameworks como Apache Struts, Apache Solr, Apache Druid o Apache Flink se ven afectados, incluidos Steam, Apple iCloud, clientes y servidores de Minecraft.

Sonatype ha producido un centro de recursos para mostrar el estado actual de la vulnerabilidad, así como una herramienta para ayudar a las empresas a escanear su código fuente abierto para ver si está afectado.

El tablero muestra el porcentaje de descargas de Log4j que siguen siendo vulnerables (actualmente alrededor del 34 % desde diciembre pasado). También muestra las partes del mundo que han visto el porcentaje más alto de descargas vulnerables.

Brian Fox, CTO de Sonatype, dice:

Log4j fue un claro recordatorio de la importancia crítica de asegurar la cadena de suministro de software. Se utilizó en prácticamente todas las aplicaciones modernas y afectó a los servicios de organizaciones de todo el mundo. Un año después del incidente de Log4Shell, la situación sigue siendo sombría. Según nuestros datos, el 30-40% de todas las descargas de Log4j son para la versión vulnerable, aunque se lanzó un parche dentro de las 24 horas posteriores a la revelación prematura de la vulnerabilidad.

Ademas de ello, añade que es:

Imperativo que las organizaciones reconozcan que la mayoría de los riesgos del código abierto recaen en los consumidores, quienes deben adoptar las mejores prácticas en lugar de culpar al código defectuoso. Log4j no es un incidente aislado: el 96% de las descargas de componentes de código abierto vulnerables tenían una versión parcheada.

Las organizaciones necesitan una mejor visibilidad de cada componente utilizado en sus cadenas de suministro de software. Esta es la razón por la cual las soluciones de análisis de composición de software de calidad son tan importantes hoy en día, ya que el mundo contempla la utilidad de los SBOM en el futuro.

La política de software del Reino Unido y Europa debería exigir a los consumidores comerciales de software libre que puedan llevar a cabo el equivalente a un retiro específico, tal como esperamos los fabricantes de bienes físicos como la industria automotriz. La visibilidad general otorgará beneficios adicionales a las organizaciones, como la capacidad de tomar decisiones en él.

A medida que avanzamos quedó claro que los hackers continuarían explotando la vulnerabilidad. En febrero, los hackers patrocinados por el estado iraní utilizaron la falla para ingresar a una red del gobierno de EE. UU., extraer criptomonedas ilegalmente, robar credenciales y cambiar contraseñas. Luego, en octubre, un grupo asociado con el gobierno chino utilizó la vulnerabilidad para lanzar ataques contra varios objetivos, incluido un país del Medio Oriente y un fabricante de productos electrónicos.

La vulnerabilidad Log4j continúa afectando a las empresas en la actualidad. Ocupa constantemente el primer o segundo lugar en los informes de amenazas de diferentes consultoras de ciberseguridad, lo que afecta al 41 % de las organizaciones en todo el mundo a partir de octubre de 2022.


Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.