En el momento de escribir este artículo los equipos de ciberseguridad y de TI llevan ya casi dos semanas lidiando con el problema del Log4j, también llamado por algunos la “pesadilla navideña de la librería Log4j”. Un software de Apache, muy utilizado para almacenar los Logs en aplicaciones Java.
¿En qué consiste la «pesadilla navideña del problema del Log4j” y qué consecuencias tiene?
La vulnerabilidad detectada permite a un atacante escribir una línea de comando como una entrada de texto más del log, para desde allí lanzar la ejecución de un código malicioso. Algo sencillo de explotar, incluso para un aficionado, y más teniendo en cuenta que está ampliamente documentado.
Dado que existen más de tres mil millones de sistemas y dispositivos ejecutando programas Java en el mundo, y que esta librería de Apache es de uso muy habitual en los programas escritos en java, la vulnerabilidad adquiere dimensiones comparables a una pandemia.
En efecto, en las grandes empresas puede haber decenas de miles de equipos y dispositivos infectados; ya que esta vulnerabilidad afecta tanto a servidores como a clientes. El esfuerzo de identificar en qué activos existe esta librería, testear para comprobar que existe la vulnerabilidad e instalar los parches o actualizar la versión, es de una gran dimensión. Y se puede extender durante varios meses, incluso contando con herramientas y procesos automatizados.
El mayor riesgo está en activos que no tenemos inventariados, pero que son visibles desde internet, lo que se conoce como “shadow IT” o superficie de ataque oculta; ya que estos sistemas podrían ser infiltrados por los cibercriminales para explotar la vulnerabilidad y lanzar sus ataques desde allí, sin que nosotros tuviéramos constancia de ello.
También un sistema ha podido ser infiltrado durante estas semanas, por un atacante que ha instalado una puerta falsa, antes de que se hayan instalado los parches o la nueva versión de la librería, lo que le permitiría acceder al sistema posteriormente, para lanzar su ataque.
Muchos de los atacantes que han sido detectados operando durante las dos últimas semanas no son sofisticados, y si bien tienen recursos suficientes para instalar una puerta trasera, no los tienen para su posterior explotación sin ser vistos. Y por ello venderían la posición que han tomado en ese cliente a otra organización criminal que tenga la capacidad de analizar la red, entender qué recursos hay, y hacer movimientos laterales y escalación de privilegios, para posteriormente lanzar ataques de ransomware, denegación de servicio o exfiltración de datos.
Finalmente hay un efecto “supply chain” que aumenta la complejidad de esta situación; ya que no solo el software que generamos en nuestra organización puede ser vulnerable; sino todo el software que utilizamos de terceros, que requiere ser actualizado por sus desarrolladores.
Parece que tenemos que hacernos a la idea de que estamos conviviendo con una ciberseguridad insegura. Esta vulnerabilidad nos demuestra que por muchos recursos que pongamos, las posibilidades que el software que utilizamos ofrece a los atacantes son tantas, que nunca podremos controlar ni cerrar todas las puertas de nuestro castillo.
¿Qué podemos hacer al respecto?
Se hace necesario un proceso de análisis de riesgos con su respectivo coste de contención, para al final, decidir cuánto presupuesto vamos a dedicar y qué nivel de riesgo estamos dispuestos a asumir. Esto debe de ir acompañado de los mayores niveles de automatización posible de todos los procesos de la ciberdefensa, como palanca para poder mitigar la máxima cantidad posible de riesgo con los recursos limitados que disponemos.
Pensemos que hoy ha sido una librería Apache de Java; pero mañana puede ser cualquier otro componente de software. Desgraciadamente no podemos evitar que una situación como esta se vuelva a producir.
Preparémonos para convivir con una ciberseguridad insegura. Pongamos los recursos para proteger todo lo que sea posible y afrontemos los riesgos, teniendo también preparados los sistemas de remediación y respuesta, y siendo transparentes y honestos con nuestros accionistas, clientes y empleados.
Juan José Martínez Pagán, SP Regional Sales manager SonicWall y presidente del Grupo IT Digital de Autelsi.
Deja tu comentario