Expertos de la ciberseguridad llevan trabajando todo el fin de semana sin descanso: por qué debería preocuparte Log4jShell, una de las mayores vulnerabilidades de la década

Programas, aplicaciones, servicios, o productos informáticos suelen usar librerías de logs para guardar una relación de todos los eventos o cambios que han sufrido. Desde transacciones, intercambios de paquetes, hasta actualizaciones: todo queda registrado en estos listados de logs para detectar posibles fallos o incluso amenazas.

Pero, ¿qué pasa cuando es la propia librería de logs la puerta de entrada a que los ciberdelincuentes secuestren tu dispositivo?

Esto es lo que ha ocurrido con Log4j, una librería de código abierto desarrollada por Apache Foundation y construida sobre el lenguaje Java. Se ha detectado una de las vulnerabilidades más críticas de la última década en este producto, que hoy por hoy utilizan grandes empresas tanto para sus programas corporativos o en sus servicios de gestión en la nube.

La vulnerabilidad ha sido bautizada como Log4jShell y ha recibido el código de vulnerabilidad CVE-2021-44228. Se trata de una vulnerabilidad de día cero, es decir: cuando se ha detectado no contaba con parches para segurizar el agujero, con lo que muchos ciberdelincuentes ya la podrían haber empleado.

La aparición de Log4jShell se conoció el 24 de noviembre gracias al equipo de ciberseguridad de Alibaba Cloud. Pero las primeras pruebas de concepto (demostraciones sobre cómo actores maliciosos podrían aprovechar este agujero) no llegaron hasta la semana pasada. Desde entonces, la carrera global para cerrar este agujero se ha acelerado.

El Gobierno confía en acudir a las próximas 'cumbres' contra el ransomware de EEUU después de que Biden no invitara a España a la primera

Las pruebas de concepto de distintos expertos de la industria de la ciberseguridad se han seguido sucediendo una tras otra y agentes maliciosos han comenzado a escanear la red buscando dispositivos vulnerables que no hayan parcheado este Log4jShell. Las posibilidades son muchas.

Sobre todo porque abren la puerta a que ciberdelincuentes empleen lo que se conoce como un exploit, más concretamente un ataque de ejecución de código en remoto que podría afectar a los usuarios finales de servicios tan dispares. Hasta la versión Java de Minecraft se ha visto afectada y Mojang (Microsoft) ha liberado un parche y pedido a sus jugadores que actualicen lo antes posible.

El Equipo de Respuesta a Emergencias Informáticas del Gobierno de Nueva Zelanda lanzó la alarma el pasado 10 de diciembre: la vulnerabilidad ya estaba siendo aprovechada por ciberdelincuentes. Una agencia del Departamento de Seguridad Nacional de Estados Unidos pidió a la industria a que adoptase medidas urgentes para mitigar este agujero.

El propio responsable de esa agencia aseguró este mismo sábado que, "siendo claros", esta vulnerabilidad supone "un riesgo severo". "Solo minimizaremos sus potenciales afecciones mediante trabajo colaborativo entre gobierno y sector privado", desgrana en unas declaraciones que ha recogidoThe Wall Street Journal.

Y la industria ha respondido. Muchos empleados TI y trabajadores de la ciberseguridad han trabajado en maratonianas jornadas este mismo fin de semana con el objetivo de que el mayor número de servicios cuenten con parches que cierren esta vulnerabilidad lo antes posible en los múltiples sistemas que podrían verse afectados.

La amenaza que no cesa: investigadores descubren una serie de aplicaciones que se habían descargado más de 300.000 veces en Google Play y contenían malware

¿Por qué la amenaza está tan extendida? Log4j es una solución gratuita, desarrollada por un grupo de programadores voluntarios. La utilidad se distribuye como una pieza más de la Apache Software Foundation, y como biblioteca de logs que es, es clave para que muchos equipos de seguridad y desarrollo en distintas industrias puedan ver qué cambian en sus ecosistemas.

Solo así pueden estos equipos detectar nuevas amenazas. Solo que en este caso, este problema "crítico", en palabras de Ralph Goers, uno de los voluntarios de Log4j, debe ser subsanado y corregido lo antes posible.

Precisamente porque se trata de una solución gratuita, es muy difícil conocer en cuántos servidores, dispositivos, productos o servicios emplean Log4j y podrían estar afectados por este error.

Además de las pruebas de concepto que han trascendido por parte de los propios expertos de la industria, los ciberdelincuentes habrían llegado a ejecutar códigos de ejecución en remoto contra servidores de Minecraft. Investigadores de Check Point han desvelado hace unas horas que se han hecho más de 100.000 intentos de aprovechar este agujero.

Y de esos 100.000, no todos los intentos han sido gestionados por los especialistas en ciberseguridad.

Amit Yoran es CEO de la empresa de ciberseguridad Tenable, y en declaraciones a The Guardianha asegurado que esta vulnerabilidad es la más grave de la década. No es la primera vez que una pieza de código abierto como Log4j pone en jaque a toda la industria tecnológica. 

Por supuesto, tampoco será la última.