Una vulnerabilidad afecta a millones de aplicaciones basadas en Java
También afecta a los marcos de desarrollo que dependen de su biblioteca y puede ser explotada sin necesidad de autenticación.
Una vulnerabilidad crítica en Apache Log4j, una biblioteca de registro que se utiliza potencialmente en millones de aplicaciones basadas en Java, está siendo atacada actualmente por ciberdelincuentes. Por ello, las organizaciones deben revisar si sus aplicaciones, especialmente las de acceso público, usan esta biblioteca; y han de implementar mitigaciones lo antes posible.
Un exploit de prueba de concepto para la vulnerabilidad fue publicado el pasado 9 de diciembre, mientras que los desarrolladores de Apache Log4j todavía estaban trabajando para lanzar una versión parcheada. Los ataques comenzaron poco después, convirtiendo el error en una amenaza zero day, que puede llevar a la ejecución remota de código en los servidores subyacentes que ejecutan aplicaciones vulnerables. Explotar el error no requiere autenticación. Por ello, se le ha dado una gravedad máxima de 10 en la escala CVSS, y varios gobiernos, como el alemán, ya han alertado a las compañías locales.
“Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro es capaz de ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada”, dijeron los desarrolladores en su aviso. “Esto generalmente significa que si un usuario puede generar una solicitud que incluye una entrada específicamente diseñada, y esa solicitud se registra a través de Log4j, la vulnerabilidad podría explotarse. Dado que la mayoría de las aplicaciones están diseñadas para aceptar la entrada del usuario de diversas formas, la explotación es trivial”.
Asimismo, la vulnerabilidad no afecta solo a las aplicaciones y servicios basados en Java que usan la biblioteca directamente, sino también a muchos otros componentes populares de Java y marcos de desarrollo que dependen de ella, incluidos Apache Struts2, Apache Solr, Apache Druid, Apache Flink, Elastic Search, Apache. Kafka y muchos otros. La comunidad todavía está trabajando para evaluar la superficie de ataque, pero es posible que sea enorme debido al complejo ecosistema de dependencias. Algunos de los componentes afectados son extremadamente populares y millones de aplicaciones y servicios empresariales los utilizan.
