¿Qué es Log4j Exploit y qué puede hacer para mantenerse a salvo?

Durante las últimas semanas se ha informado sobre el abuso de Log4j, algunos llamados Log4Shell o CVE-2021-44228. ¡Es malo! ¡Está en todas partes! ¿Pero qué es exactamente? ¿Cómo llegó a millones de servidores? ¿Y cómo puede protegerse de las consecuencias de este agujero de seguridad?


Esto no son datos, ¡esto es código!

En el corazón del problema de Log4j está la confusión entre datos simples y comandos ejecutables. Los codificadores malintencionados han utilizado este tipo de confusión casi siempre.

En los días de los virus informáticos basados ​​en DOS, los programas en disco simplemente se copiaban directamente en la memoria y se ejecutaban. Los primeros virus adjuntos en forma de bloque de datos al final del programa anfitrión. El ajuste de uno o dos bytes al comienzo del programa hizo que DOS ejecutara el código del virus antes de que se ejecutara el programa. Y el virus se unió a múltiples programas durante su corta ejecución.

Los programas de Windows, llamados programas ejecutables portátiles (PE), son mucho más sofisticados. Se leen varios bloques de información en el área de memoria respectiva y estos bloques se marcan como código o datos. Aun así, los villanos gestionaron los ataques, lo que obligó a la ejecución de lo que iban a ser datos. Las versiones modernas de Windows usan Prevención de ejecución de datos (DEP) y Aleatorización del diseño del espacio de direcciones (ASLR) para disuadir tales ataques.


Java y código abierto

Log4j está escrito en Java, lo que significa que no tiene protecciones como DEP y ASLR. Por otro lado, es un paquete de código abierto. Esto significa que cualquier persona (bueno, cualquier persona con conocimientos de codificación) puede leer el código fuente, detectar errores y ayudar a mejorar el paquete.

La teoría es que el código de fuente abierta es más seguro porque ha sido explorado por muchos grupos de ojos y porque no hay posibilidad de que el código tenga puertas traseras o alguna otra función no deseada. Cuando una biblioteca participante es muy sensible, quizás implicando cifrado, se investiga a fondo. Pero este sencillo módulo de entrada de registros no parece haber recibido suficiente atención.


¿Por qué está en todas partes?

Si ocurre un agujero de seguridad en su sistema operativo o navegador favorito, esto generalmente solo se aplica a los usuarios de ese sistema operativo o navegador. El editor desarrolla una nueva versión que cierra el agujero, emite una actualización y todo está bien.

Log4j es diferente. No es un sistema operativo, un navegador, ni siquiera un programa. Más bien, es lo que los codificadores llaman biblioteca, paquete o módulo de código. Tiene un propósito: mantener un registro de lo que sucede en el servidor.

Las personas que escriben código quieren centrarse en lo que hace que su programa sea único. No quieren reinventar la rueda. Por lo tanto, se basan en bibliotecas infinitas de código existente, como Log4j. El módulo Log4j proviene de Apache, que es el software de servidor web más utilizado. Y es por eso que está en millones de servidores.


¿Quién es la víctima aquí?

He aquí un punto importante. Las vulnerabilidades en Log4j son No dirigido a ti. Un pirata informático que lo obliga a registrar una línea de texto que se convierte en un comando está intentando instalar malware en servidor. Microsoft dice que lo utilizan piratas informáticos patrocinados por el estado que probablemente admitan ransomware. Apple, Cloudflare, Twitter, Valve y otras empresas importantes se han visto afectadas.

Es posible que haya visto (o escaneado) un video en YouTube en el que un investigador de seguridad demostró hacerse cargo de Minecraft usando nada más que un chat en el juego. Esto no significa que afectó a los jugadores involucrados en el chat. Significa que el investigador lo forzó servidor ejecutar código arbitrario.

Recomendado por nuestros editores

Pero no te relajes todavía. Un hacker que puede ejecutar código arbitrario en un servidor afectado tiene posibilidades ilimitadas. Claro, un ataque de ransomware contra el propietario de un servidor podría ser bastante lucrativo, al igual que la cooptación de un servidor para extraer bitcoins. Sin embargo, también es posible que un pirata informático interrumpa el servidor, provocando que el malware provoque visitantes a los sitios web alojados en ese servidor.


¿Que puedo hacer?

El uso de Log4j es solo uno de los muchos agujeros de seguridad explotados por los malos actores. El catálogo CISA de vulnerabilidades explotadas enumera 20 encontradas solo en diciembre. Si observa de cerca, verá que algunos ya están reparados, pero otros tienen una reparación que no vence en seis meses o más. Por supuesto, pocos tendrán el impacto de abusar de Log4j.

Cuando se trata de protección del lado del servidor contra Log4j, es ridículamente simple. Hay configuraciones que controlan si el sistema de registro puede interpretar los datos como código. Apagar este interruptor hace su trabajo. Apache, naturalmente, lanzó una actualización del módulo de código, pero algunos investigadores informan que el único cambio significativo en la actualización es que este interruptor está desactivado de forma predeterminada.

Como se mencionó, Log4j es un código diseñado para servidores y un ataque de explotación afecta a los servidores. Sin embargo, puede verse afectado indirectamente si un pirata informático lo usa para eliminar un servidor que es importante para usted o si intenta usar el servidor para descargas de automóviles u otros ataques de malware.

No hay nada allí Uds Puede hacer esto para evitar el impacto de detener el servidor, pero lo hace ser capaz Protéjase contra estos ataques secundarios instalando una potente herramienta antivirus y actualizándola. Contribuya vigilando las estafas de phishing, utilizando un administrador de contraseñas y ejecutando su tráfico de Internet a través de una red privada virtual o VPN. Mantener la seguridad de sus propios datos, dispositivos y conexiones significa que es poco probable que se vea afectado por interrupciones del ataque de explotación de Log4j.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática