Conclusiones clave
- Miles de servidores y servicios en línea aún están expuestos a la vulnerabilidad loj4j peligrosa y fácilmente explotable, según los investigadores.
- Si bien las principales amenazas son los propios servidores, los servidores expuestos también pueden poner en riesgo a los usuarios finales, según sugieren los expertos en ciberseguridad.
- Desafortunadamente, hay poco que la mayoría de los usuarios puedan hacer para solucionar el problema además de seguir las mejores prácticas de seguridad de escritorio.
La peligrosa vulnerabilidad log4J se niega a morir, incluso meses después de que se pusiera a disposición una solución para el error fácilmente explotable.
Los investigadores de seguridad cibernética de Rezilion descubrieron recientemente más de 90 000 aplicaciones vulnerables orientadas a Internet, incluidos más de 68 000 servidores de Minecraft potencialmente vulnerables cuyos administradores aún no han aplicado los parches de seguridad, lo que los expone a ellos y a sus usuarios a ataques cibernéticos. Y es poco lo que puedes hacer al respecto.
"Desafortunadamente, log4j nos perseguirá a los usuarios de Internet durante bastante tiempo", dijo Harman Singh, director del proveedor de servicios de ciberseguridad Cyphere, a Lifewire por correo electrónico. "Como este problema se explota desde el lado del servidor, [las personas] no pueden hacer mucho para evitar el impacto de un compromiso del servidor".
La maldición
La vulnerabilidad, denominada Log4 Shell, se detalló por primera vez en diciembre de 2021. En una sesión informativa telefónica en ese entonces, la directora de la agencia de ciberseguridad y seguridad de la infraestructura (CISA) de EE. UU., Jen Easterly, describió la vulnerabilidad como "una de las más grave que he visto en toda mi carrera, por no decir la más grave."
En un intercambio de correos electrónicos con Lifewire, Pete Hay, líder de instrucción en la empresa de capacitación y pruebas de seguridad cibernética SimSpace, dijo que el alcance del problema se puede medir a partir de la compilación de servicios y aplicaciones vulnerables de proveedores populares como Apple, Steam, Twitter, Amazon, LinkedIn, Tesla y muchos más. Como era de esperar, la comunidad de ciberseguridad respondió con toda su fuerza y Apache lanzó un parche casi de inmediato.
Al compartir sus hallazgos, los investigadores de Rezilion esperaban que la mayoría de los servidores vulnerables, si no todos, hubieran sido parcheados, dada la gran cantidad de cobertura mediática sobre el error. “Nos equivocamos”, escriben los sorprendidos investigadores. "Desafortunadamente, las cosas están lejos de ser ideales y todavía existen muchas aplicaciones vulnerables a Log4 Shell".
Los investigadores encontraron las instancias vulnerables utilizando el motor de búsqueda Shodan Internet of Things (IoT) y creen que los resultados son solo la punta del iceberg. La superficie de ataque vulnerable real es mucho más grande.
¿Está usted en riesgo?
A pesar de la superficie de ataque expuesta bastante significativa, Hay cree que hay buenas noticias para el usuario doméstico promedio. "La mayoría de estas vulnerabilidades [Log4J] existen en los servidores de aplicaciones y, por lo tanto, es muy poco probable que afecten a la computadora de su hogar", dijo Hay.
Sin embargo, Jack Marsal, director sénior de marketing de productos del proveedor de seguridad cibernética WhiteSource, señaló que las personas interactúan con aplicaciones en Internet todo el tiempo, desde compras en línea hasta juegos en línea, lo que los expone a ataques secundarios. Un servidor comprometido puede potencialmente revelar toda la información que el proveedor de servicios tiene sobre su usuario.
"No hay forma de que una persona pueda estar segura de que los servidores de aplicaciones con los que interactúa no son vulnerables a los ataques", advirtió Marsal. "La visibilidad simplemente no existe".
Desafortunadamente, las cosas están lejos de ser ideales y todavía existen muchas aplicaciones vulnerables a Log4 Shell.
En una nota positiva, Singh señaló que algunos proveedores han hecho que sea bastante simple para los usuarios domésticos abordar la vulnerabilidad. Por ejemplo, señalando el aviso oficial de Minecraft, dijo que las personas que juegan la edición Java del juego simplemente deben cerrar todas las instancias en ejecución del juego y reiniciar el iniciador de Minecraft, que descargará la versión parcheada automáticamente.
El proceso es un poco más complicado y complicado si no está seguro de qué aplicaciones Java está ejecutando en su computadora. Hay sugirió buscar archivos con extensiones.jar,.ear o.war. Sin embargo, agregó que la mera presencia de estos archivos no es suficiente para determinar si están expuestos a la vulnerabilidad log4j.
Sugirió que las personas usaran los scripts publicados por el Equipo de Preparación para Emergencias Informáticas (CERT) del Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon (CMU) para rastrear sus computadoras en busca de la vulnerabilidad. Sin embargo, los scripts no son gráficos y para usarlos es necesario acceder a la línea de comandos.
Considerando todo, Marsal creía que en el mundo conectado de hoy, depende de todos hacer su mejor esfuerzo para permanecer seguros. Singh estuvo de acuerdo y aconsejó a las personas que siguieran las prácticas básicas de seguridad de escritorio para mantenerse al tanto de cualquier actividad maliciosa perpetuada al explotar la vulnerabilidad.
"[Las personas] pueden asegurarse de que sus sistemas y dispositivos estén actualizados y que las protecciones de puntos finales estén implementadas", sugirió Singh. "Esto los ayudaría con las alertas de fraude y la prevención contra las consecuencias de las explotaciones salvajes".
