Log4j es una biblioteca de registro basada en Java cuyo mantenimiento corre a cargo de la Apache Software Foundation. Se utiliza en innumerables aplicaciones empresariales, frameworks y servicios en la nube para los log de eventos del sistema, los mensajes de depuración y los errores de aplicaciones.

Su flexibilidad y facilidad de integración la han convertido en el marco de registro predeterminado para muchas aplicaciones Java, y a menudo se incluía en las pilas de software a través de dependencias transitivas. Esa ubicuidad se convirtió en una responsabilidad crucial cuando se descubrió una grave vulnerabilidad de seguridad a finales de 2021.

¿Qué es Log4Shell?

Log4Shell es una vulnerabilidad de día cero (CVE-2021-44228) crítica en Log4j que se detectó en diciembre de 2021. Permite a los atacantes ejecutar código arbitrario de forma remota en los sistemas afectados. La vulnerabilidad se debe a una validación incorrecta de entrada en la funcionalidad de búsqueda de la Interfaz de Nombres y Directorios de Java (JNDI) de Log4j.

Cómo funciona el exploit

Explotar la vulnerabilidad significa aprovechar la compatibilidad de Log4j con las consultas de JNDI. JNDI permite a las aplicaciones recuperar recursos utilizando ciertas URL, como las de LDAP, RMI o DNS. En versiones vulnerables, Log4j interpretaba ciertos mensajes de registro como instrucciones para realizar una consulta de JNDI, incluso si esa entrada provenía de una fuente no confiable.

Esto permite que los atacantes envíen mensajes de log especialmente diseñados que hacen que Log4j obtenga y ejecute código desde un servidor remoto, lo que desemboca en la ejecución remota de código (RCE).

Debido a que muchas llamadas registran datos controlados por el usuario (como encabezados HTTP o entradas de usuario), la explotación podría ser tan sencilla como enviar una cadena maliciosa a una aplicación web vulnerable.

Este fallo se convirtió rápidamente en una de las vulnerabilidades de software más graves de la historia reciente debido a su simplicidad, alcance e impacto potencial.

La gravedad de Log4Shell

La vulnerabilidad Log4Shell recibió una puntuación del CVSS de 10,0, que es la máxima puntuación posible. Afectó a una amplia gama de sistemas, desde aplicaciones en la nube de nivel empresarial hasta dispositivos del Internet de las cosas (IoT) para consumidores.

Entre los factores por los que Log4Shell eran tan peligrosos se incluían los siguientes:

• La profunda integración de Log4j en ecosistemas de software Java
• La facilidad con la que se podía explotar la vulnerabilidad
• El hecho de que muchas organizaciones ni siquiera se dieran cuenta de que estaban ejecutando código vulnerable

Exploits reales de Log4Shell

La gravedad de Log4Shell dio lugar a una explotación inmediata en circulación. CrowdStrike Intelligence observó a múltiples atacantes, desde grupos patrocinados por Estados hasta delincuentes con motivaciones económicas, que estaban utilizando la vulnerabilidad.

AQUATIC PANDA

AQUATIC PANDA, un atacante procedente de China con la doble misión de recopilar inteligencia y efectuar espionaje industrial, están entre los primeros adversarios identificados que utilizaban Log4Shell. Según el equipo de CrowdStrike Falcon® Adversary OverWatch™, AQUATIC PANDA intentó explotar un servidor de VMware Horizon vulnerable.

El grupo inició actividades de reconocimiento poco después de la divulgación pública de la vulnerabilidad y utilizó una herramienta de exploit Log4Shell disponible públicamente para lograr el acceso inicial. Una vez dentro, AQUATIC PANDA ejecutó más órdenes de reconocimiento e intentó descargar payloads adicionales a través de PowerShell. El equipo de Falcon Adversary OverWatch interrumpió con éxito la actividad antes de que pudiera entregarse cualquier payload, lo que subraya la importancia del Threat Hunting continuo y la detección en tiempo real.

Otros grupos delictivos

Grupos criminales, incluidos afiliados a ransomware, incorporaron rápidamente Log4Shell en sus manuales de ataque. En muchos casos, los atacantes buscaban en Internet sistemas sin parchear y utilizaban la vulnerabilidad como vector de acceso inicial para desplegar ransomware, exfiltrar datos o establecer acceso persistente en entornos empresariales.

CrowdStrike observó intentos de explotar sistemas vulnerables en múltiples sectores, como el tecnológico, la fabricación y los servicios financieros. Estos esfuerzos solían depender de herramientas de explotación automatizadas que requieren poca sofisticación, por lo que resultan accesibles incluso para los atacantes menos hábiles.

Estos ejemplos ponen de manifiesto la rapidez y la amplitud con las que los atacantes explotaron esta vulnerabilidad.

Cómo detectar y mitigar Log4Shell

Responder eficazmente a Log4Shell requiere un enfoque multinivel que incluya tanto la detección como la mitigación. Aunque muchas organizaciones se apresuran a parchear los sistemas vulnerables tras descubrir una vulnerabilidad, detectar signos de compromiso y reforzar las defensas es igual de crucial. A continuación, se presentan las estrategias principales para ayudar a los equipos de seguridad a identificar y neutralizar las amenazas relacionadas con Log4Shell.

Técnicas de detección

Las organizaciones deberían analizar los sistemas para detectar versiones vulnerables de Log4j con herramientas de seguridad especializadas como CrowdStrike Archive Scanning Tool (CAST). 

Los equipos de seguridad también pueden analizar registros y tráfico de red para buscar señales de intento de explotación. Los patrones de búsqueda de JNDI sospechosos o las conexiones LDAP o RMI salientes inesperadas pueden indicar el intento o la consecución de una explotación.

Estrategias de mitigación

Tras la detección, una mitigación rápida y eficaz es clave para prevenir la explotación y limitar los posibles daños.

• Aplicación de parches inmediata: la respuesta más segura y eficaz es actualizar a Log4j 2.17.1 (o posterior), que elimina por completo la funcionalidad de JNDI vulnerable.
• Soluciones temporales: en los casos en que la aplicación de parches no sea viable de forma inmediata, desactivar las consultas de JNDI en los archivos de configuración puede reducir la exposición. Sin embargo, no debe considerarse una solución a largo plazo.
• Defensas de la red: los firewalls de aplicaciones web (WAF) y las plataformas de protección de endpoints como la plataforma CrowdStrike Falcon® pueden ayudar a detectar y bloquear intentos de exploit en tiempo real. Proporcionan una capa adicional de protección mientras se aplican los parches.

Lecciones aprendidas de Log4Shell

Log4Shell no fue solo una crisis puntual, sino una llamada de atención para el sector del software. Hizo aflorar lagunas en la visibilidad, el seguimiento de dependencias y la capacidad de respuesta. Las lecciones que se detallan a continuación destacan lo que las organizaciones pueden hacer para prepararse ante futuras vulnerabilidades y reforzar su posición general de seguridad.

Necesidad de una lista de materiales de software (SBOM)

Uno de los mayores retos durante la respuesta inicial a Log4Shell fue la visibilidad. Muchas organizaciones ni siquiera sabían que estaban usando Log4j porque estaba integrado en componentes de terceros.

Al adoptar SBOM, las organizaciones pueden gozar de mayor calidad sobre las bibliotecas y las dependencias presentes en sus aplicaciones, lo que permite respuestas más rápidas cuando surgen nuevas vulnerabilidades.

Fortalecimiento de prácticas seguras de desarrollo de software

Para reducir la probabilidad de problemas similares en el futuro, los equipos de desarrollo deberían integrar prácticas de codificación segura, gestión de dependencias y escaneo de vulnerabilidades en sus pipelines de integración continua/entrega continua (CI/CD).

Las actualizaciones regulares, las herramientas automatizadas y una mentalidad centrada en la seguridad ayudan a minimizar riesgos a lo largo del ciclo de vida del desarrollo de software.

El papel de CrowdStrike en la defensa de las empresas modernas

Log4Shell destacó los riesgos generalizados de vulnerabilidades en el software de código abierto de las aplicaciones empresariales. CrowdStrike respondió rápidamente con reglas de detección, herramientas de escaneo e inteligencia de amenazas en tiempo real para ayudar a las organizaciones a mitigar riesgos.

El incidente recuerda la importancia de la seguridad proactiva. Las organizaciones deben mantener una monitorización rigurosa, invertir en la gestión de vulnerabilidades y mantenerse informadas a través de fuentes fiables como CrowdStrike para responder eficazmente a amenazas emergentes.