Cualquier compañía que en sus servidores o aplicaciones use Apache Log4j, una biblioteca de registro de Java, se está enfrentando a una de las vulnerabilidades más importantes de la última década. Se trata de Log4Shell (CVE-2021-44228), un fallo de seguridad crítico que da como resultado la ejecución remota de código con potencial para tomar el control del equipo. La vulnerabilidad fue descubierta por Chen Zhaojun de Alibaba Cloud Security Team y por su importancia y alcance se compara con Heartbleed y WannaCry.
Lo que hace de Log4Shell una vulnerabilidad extremadamente peligrosa es la facilidad con la que se puede usar. Según los expertos de seguridad, para aprovecharse de este fallo no hace falta una configuración especial e incluso un atacante inexperto puede ejecutar con éxito un asalto. Por otro lado, hay que tener en cuenta que Log4j es una biblioteca de código abierto que se usa en innumerables aplicaciones, incluyendo las que emplean los gigantes tecnológicos. Según W3Techs, el 31,5 % de todos los sitios web se ejecutan en Apache.
En consecuencia, la lista de empresas con una infraestructura vulnerable a Log4Shell es larga e incluye a Microsoft, Apple, Amazon, Twitter, Steam, Cloudflare, Baidu y Tesla entre muchas otras. La versión Java de Minecraft fue una de las primeras víctimas en sufrir un ataque con Log4Shell. Proveedores como Cisco, IBM, Oracle, VMware y Red Hat ya han emitido avisos de seguridad, y ahora trabajan junto a otras tecnológicas y compañías de ciberseguridad en implantar medidas para mitigar los efectos del fallo en servidores y aplicaciones.
Log4Shell afecta de la versión 2.0 a la 2.14.1 de Apache Log4j y se recomienda actualizar lo antes posible a la versión 2.15.0 que corrige la vulnerabilidad. Esta es la mejor solución. Sin embargo, la aplicación de parches suele ser compleja y necesita de un ciclo de lanzamiento y un ciclo de pruebas. Esto significa tiempo, el mismo que tienen los atacantes para usar el fallo. La compañía de seguridad Check Point ha detectado 400.000 ataques con Log4Shell y afirma que más del 45 % eran maliciosos. El resto fue realizado por investigadores legítimos.
Para ganar tiempo, la compañía de seguridad Cybereason ha liberado el script Logout4Shell que básicamente actúa como una vacuna, ya que corrige el fallo de seguridad aprovechando el servidor vulnerable.
