{"id":28172,"date":"2022-12-15T23:20:51","date_gmt":"2022-12-15T21:20:51","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28172"},"modified":"2022-12-15T23:20:51","modified_gmt":"2022-12-15T21:20:51","slug":"log4shell-still-active-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/log4shell-still-active-2022\/28172\/","title":{"rendered":"Un a\u00f1o de Log4Sheel"},"content":{"rendered":"<p>El diciembre del a\u00f1o pasado, la vulnerabilidad Log4Shell (CVE-2021-44228) en la biblioteca Apache Log4j caus\u00f3 sensaci\u00f3n. Y, aunque en primavera ya hab\u00eda desaparecido de los titulares de los medios TI, en noviembre del 2022 reapareci\u00f3 cuando se descubri\u00f3 que los <a href=\"https:\/\/www.cpomagazine.com\/cyber-security\/iranian-hackers-installed-crypto-miner-in-federal-agency-after-exploiting-unpatched-log4shell-vulnerability\/\" target=\"_blank\" rel=\"noopener nofollow\">ciberdelincuentes hab\u00edan explotado<\/a> esta vulnerabilidad para atacar una agencia federal de Estados Unidos e instalar un minero de criptomonedas en sus sistemas. Consideramos por tanto que es una buena oportunidad para explicar qu\u00e9 es realmente Log4Shell, por qu\u00e9 es demasiado pronto para darla por muerta y c\u00f3mo proteger tu infraestructura.<\/p>\n<h2>\u00bfQu\u00e9 es la biblioteca Apache Log4j?<\/h2>\n<p>Dado que Java SDK no admit\u00eda de primeras la escritura de mensajes de registro, los desarrolladores tuvieron que escribir sus propias soluciones, por lo que cuando el Java Logging API oficial apareci\u00f3, ya se hab\u00edan desarrollado algunas de estas soluciones. Una de ellas es Apache Log4j, una famosa biblioteca de Java de c\u00f3digo abierto en desarrollo desde el 2001. No es la \u00fanica soluci\u00f3n de escritura de mensajes de registro, pero sin duda s\u00ed que es una de las m\u00e1s populares, de hecho, muchas de las soluciones de este tipo son b\u00e1sicamente filiales de Log4j que han aparecido en diferentes etapas del desarrollo de la biblioteca.<\/p>\n<h2>\u00bfQu\u00e9 es la vulnerabilidad Log4Shell?<\/h2>\n<p>La biblioteca Log4j permite registrar todos los eventos del sistema de forma autom\u00e1tica. Utiliza un conjunto est\u00e1ndar de interfaces para acceder a los datos de la Interfaz de Nombrado y Directorio Java (JNDI por sus siglas en ingl\u00e9s). En noviembre del 2021, result\u00f3 que durante el registro era capaz de ejecutar comandos JNDI pasados por un evento, por ejemplo, en el campo de Encabezado de una solicitud, en un chat o en la descripci\u00f3n de un error 404 de una p\u00e1gina web.<\/p>\n<p>La vulnerabilidad <a href=\"https:\/\/www.kaspersky.es\/blog\/log4shell-critical-vulnerability-in-apache-log4j\/26549\/\" target=\"_blank\" rel=\"noopener\">permite<\/a> a los ciberdelincuentes, al menos en teor\u00eda, hacer lo que quieran en el sistema de la v\u00edctima (a no ser que entren en juego las medidas de seguridad).<\/p>\n<p>En la pr\u00e1ctica, la mayor\u00eda de los atacantes utilizaban Log4Shell para instalar mineros ilegales y desplegar ataques de ransomware. Pero ha habido <a href=\"https:\/\/www.zdnet.com\/article\/log4shell-flaw-still-being-used-for-crypto-mining-botnet-building-and-rick-rolls\/\" target=\"_blank\" rel=\"noopener nofollow\">otros usos m\u00e1s ex\u00f3ticos tambi\u00e9n<\/a>, incluyendo los ataques dirigidos, el botnet Mirai e incluso la referencias al famoso meme de internet, RickRolling, reproduciendo el (irritante, aunque adictivo) \u00e9xito de los 80 \u201cNever Gonna Give You Up\u201d del cantante Rick Astley.<\/p>\n<h2>\u00bfPor qu\u00e9 es tan peligroso y sigue siendo una amenaza?<\/h2>\n<p>Java es uno de los lenguajes de programaci\u00f3n m\u00e1s importantes, usado por muchos sistemas de <em>backend<\/em>, desde servidores de peque\u00f1as corporaciones hasta sistemas de automatizaci\u00f3n industriales y dispositivos del Internet de las Cosas. La mayor\u00eda de estos sistemas implementan los registros de una forma u otra y durante a\u00f1os la forma m\u00e1s sencilla de hacerlo ha sido con la biblioteca Log4j. Por ello, cuando se inform\u00f3 en diciembre del 2021 que conten\u00eda una vulnerabilidad, los expertos manifestaron <a href=\"https:\/\/www.zdnet.com\/article\/log4j-flaw-why-it-will-still-be-causing-problems-a-decade-from-now\/\" target=\"_blank\" rel=\"noopener nofollow\">la magnitud de un problema que permanecer\u00eda durante a\u00f1os<\/a>. Te contamos el por qu\u00e9:<\/p>\n<ul>\n<li>Dado que Log4j se utiliza en una gran variedad de aplicaciones Java, cuando se dio a conocer la vulnerabilidad, ya estaba en <a href=\"https:\/\/security.googleblog.com\/2021\/12\/understanding-impact-of-apache-log4j.html\" target=\"_blank\" rel=\"noopener nofollow\">m\u00e1s de 35000 paquetes en Maven Central<\/a> (el repositorio de paquetes Java m\u00e1s importante), lo que representa el 8 % de la cifra total. De acuerdo con los expertos, aproximadamente <a href=\"https:\/\/www.itpro.co.uk\/security\/zero-day-exploit\/361847\/log4shell-zero-day-vulnerability-numbers-revealed\" target=\"_blank\" rel=\"noopener nofollow\">el 40 % de las redes de todo el mundo<\/a> estaban en riesgo de infecci\u00f3n con Log4Shell.<\/li>\n<li>Adem\u00e1s de los ordenadores y servidores convencionales, Java tambi\u00e9n se utiliza en equipos industriales, m\u00e9dicos y dem\u00e1s sectores especializados. Y estos equipos tambi\u00e9n utilizan la biblioteca Log4j.<\/li>\n<li>Si los usuarios finales de soluciones que utilizan Log4j desconocen que el software contiene una vulnerabilidad, pueden postergar su actualizaci\u00f3n.<\/li>\n<li>Los desarrolladores de soluciones que utilizan la biblioteca Log4j podr\u00edan haber quebrado hace tiempo, abandonado el mercado o cancelado el soporte de sus programas. Por ello, aunque los usuarios hubieran querido actualizar el programa, podr\u00edan encontrarse con alguna de estas situaciones que lo impiden y cambiar a otro software no es nada f\u00e1cil.<\/li>\n<li>Log4j es una biblioteca de c\u00f3digo abierto, lo que quiere decir que los programadores pueden copiarla, modificarla y utilizarla en sus proyectos. Y, por desgracia, no todos los desarrolladores siguen las normas de licencia y no siempre indican la autor\u00eda del c\u00f3digo. Por tanto, en teor\u00eda, la misma vulnerabilidad podr\u00eda encontrarse en un proyecto de terceros donde no se especifique oficialmente el uso de Log4j.<\/li>\n<li>Log4Shell era una vulnerabilidad de d\u00eda cero, lo que significa que los ciberdelincuentes la explotaron antes de que se publicara informaci\u00f3n sobre ella. Hay <a href=\"https:\/\/www.zdnet.com\/article\/log4j-rce-activity-began-on-december-1-as-botnets-start-using-vulnerability\/\" target=\"_blank\" rel=\"noopener nofollow\">pruebas<\/a> que sugieren que los atacantes la probaran primero durante nueve d\u00edas antes de hacerla p\u00fablica.<\/li>\n<li>Entre los programas afectados estaban los productos de VMware, en concreto la popular soluci\u00f3n de infraestructura de escritorio virtual VMware Horizon. Muchos ataques registrados penetraron en el sistema mediante este software.<\/li>\n<li>Las actualizaciones del programa tendr\u00e1n muy poco efecto si los intrusos ya est\u00e1n dentro del sistema. No todos los ataques comienzan inmediatamente despu\u00e9s de la penetraci\u00f3n y es muy posible que muchos sistemas contengan puertas traseras hoy en d\u00eda.<\/li>\n<\/ul>\n<h2>Da\u00f1os reales<\/h2>\n<p>Para ser justos, cabe destacar que hasta la fecha no se han registrado situaciones catastr\u00f3ficas a causa de la explotaci\u00f3n de Log4Shell, o al menos no se ha hecho p\u00fablica ninguna. Sin embargo, esta vulnerabilidad ha generado grandes quebraderos de cabeza a desarrolladores y expertos de seguridad, llegando incluso a arruinar la Navidad de miles de empleados del sector TI de todo el mundo.<\/p>\n<p>Las empresas comprometidas con la seguridad (tanto la suya como la de sus clientes) han tenido que gastar cantidades considerables de dinero para localizar la vulnerabilidad en sus sistemas y software y eliminarla.<\/p>\n<p>Estos son algunos de los incidentes conocidos m\u00e1s notables que ha provocado Log4Shell:<\/p>\n<ul>\n<li>El 20 de diciembre del 2021, el Ministerio de Defensa belga <a href=\"https:\/\/www.zdnet.com\/article\/belgian-defense-ministry-confirms-cyberattack-through-log4j-exploitation\/\" target=\"_blank\" rel=\"noopener nofollow\">confirm\u00f3<\/a> un ataque hacia su infraestructura con esta vulnerabilidad. Como es comprensible, no se divulg\u00f3 informaci\u00f3n sobre el ataque.<\/li>\n<li>El 29 de diciembre del 2021, los medios afirmaron que una instituci\u00f3n cient\u00edfica de Estados Unidos hab\u00eda recibido un <a href=\"https:\/\/www.securityweek.com\/chinese-spies-exploit-log4shell-hack-major-academic-institution\" target=\"_blank\" rel=\"noopener nofollow\">ataque mediante Log4Shell<\/a>. De acuerdo con CrowdStrike, el grupo de APT, Aquatic Panda, explot\u00f3 su plataforma VMware Horizon sin parchear. La actividad sospechosa se detuvo a tiempo, pero el incidente por s\u00ed mismo revel\u00f3 que los grupos de ciberdelincuentes importantes ya hab\u00edan comenzado a explotar la vulnerabilidad.<\/li>\n<li>Tambi\u00e9n en diciembre del 2021, salt\u00f3 la noticia de la explotaci\u00f3n de Log4Shell en los servidores de <em>Minecraft: Java Edition<\/em>, no alojada por la distribuidora del juego (Microsoft). La empresa <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2021\/12\/11\/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation\/\" target=\"_blank\" rel=\"noopener nofollow\">confirm\u00f3<\/a> la informaci\u00f3n y destac\u00f3 la simplicidad de la implementaci\u00f3n del ataque: <strong>los ciberdelincuentes transmitieron c\u00f3digo malicioso en un chat dentro del juego, esto les bast\u00f3 para ejecutarlo tanto en el lado del servidor como en el del cliente.<\/strong> Este caso resulta menos interesante desde la perspectiva de la v\u00edctima y m\u00e1s en t\u00e9rminos de la implementaci\u00f3n t\u00e9cnica: bajo ciertas condiciones, el ataque puede implementarse simplemente a trav\u00e9s de un chat interno. Esto resulta preocupante, ya que los chats van m\u00e1s all\u00e1 del mundo <em>gaming<\/em>: para muchas empresas son el medio preferido de comunicaci\u00f3n con los clientes. De hecho, muchas Fintech y otros tipos de aplicaciones utilizan los chats para la gesti\u00f3n de la atenci\u00f3n al cliente.<\/li>\n<li>En junio de 2022, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el Comando Cibern\u00e9tico de la Guardia Costera de EE. UU. (CGCYBER) <a href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa22-174a\" target=\"_blank\" rel=\"noopener nofollow\">emitieron una alerta<\/a> de que la vulnerabilidad a\u00fan se estaba explotando en activo. El aviso indicaba que los ciberdelincuentes utilizaban una laguna en el mismo VMware Horizon para penetrar en las redes internas de dos agencias gubernamentales no identificadas. Adem\u00e1s, afirmaron que los atacantes obtuvieron acceso a 130 GB de datos confidenciales relacionados con fuerzas del orden p\u00fablico.<\/li>\n<li>En noviembre del 2022, la CISA, junto con el FBI, <a href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa22-320a\" target=\"_blank\" rel=\"noopener nofollow\">emiti\u00f3 otro aviso<\/a> sobre un ataque de Log4Shell a otra agencia gubernamental. Los atacantes penetraron en el sistema en febrero, fueron detectados en abril y permanecieron en activo entre junio y julio. Durante este per\u00edodo, crearon una cuenta con privilegios de administrador, cambiaron la contrase\u00f1a de un gestor leg\u00edtimo y cargaron el <em>software<\/em> de miner\u00eda en el servidor. Se cree que el ataque es obra de un grupo de ciberdelincuentes patrocinados por el gobierno, por lo que los expertos consideran que es solo una cortina de humo para ocultar sus verdaderos motivos.<\/li>\n<\/ul>\n<h2>C\u00f3mo proteger tu infraestructura<\/h2>\n<p>Cualquier compa\u00f1\u00eda puede caer en la trampa de Log4Shell, a menudo simplemente debido al desconocimiento de la presencia de vulnerabilidades en sus sistemas y software. Si no est\u00e1s seguro de si tus sistemas, herramientas, productos o servicios utilizan la biblioteca Log4j, podr\u00edas realizar una <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/cybersecurity-services?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">auditor\u00eda de seguridad<\/a>. Aparte de eso, sigue los consejos de nuestros expertos para mantenerte a salvo:<\/p>\n<ul>\n<li>Si Log4j se encuentra en el software que creas, usa la \u00faltima versi\u00f3n de la biblioteca disponible en la <a href=\"https:\/\/logging.apache.org\/log4j\/2.x\/download.html\" target=\"_blank\" rel=\"noopener nofollow\">p\u00e1gina del proyecto<\/a>.<\/li>\n<li>Lee la <a href=\"https:\/\/logging.apache.org\/log4j\/2.x\/\" target=\"_blank\" rel=\"noopener nofollow\">gu\u00eda<\/a> oficial de Apache Logging Services y s\u00edguela siempre que sea necesario.<\/li>\n<li>Si Log4j se utiliza en productos de terceros, actualiza todo el software vulnerable.<\/li>\n<li>Utiliza <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluciones de seguridad<\/a> robustas capaces de detectar los intentos de explotaci\u00f3n de vulnerabilidades en servidores y estaciones de trabajo.<\/li>\n<li>Supervisa la actividad sospecha dentro del per\u00edmetro corporativo con soluciones <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/endpoint-detection-response-edr?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">de tipo EDR<\/a> o servicios externos como los de <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/managed-detection-and-response?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">detecci\u00f3n y respuesta gestionada<\/a>. Esto te permitir\u00e1 encontrar y detener ataques en etapas tempranas.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-top3\">\n","protected":false},"excerpt":{"rendered":"<p>Un a\u00f1o despu\u00e9s de su descubrimiento, la vulnerabilidad Log4Shell sigue haci\u00e9ndose notar.<\/p>\n","protected":false},"author":2484,"featured_media":28173,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[71,709,3374,784],"class_list":{"0":"post-28172","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apache","10":"tag-dia-cero","11":"tag-log4j","12":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/log4shell-still-active-2022\/28172\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/log4shell-still-active-2022\/24965\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/log4shell-still-active-2022\/20461\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/log4shell-still-active-2022\/10462\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/log4shell-still-active-2022\/27531\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/log4shell-still-active-2022\/25295\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/log4shell-still-active-2022\/25614\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/log4shell-still-active-2022\/34362\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/log4shell-still-active-2022\/46545\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/log4shell-still-active-2022\/19881\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/log4shell-still-active-2022\/20467\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/log4shell-still-active-2022\/29588\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/log4shell-still-active-2022\/33272\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/log4shell-still-active-2022\/25653\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/log4shell-still-active-2022\/31342\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/log4shell-still-active-2022\/31051\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28172","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2484"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=28172"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28172\/revisions"}],"predecessor-version":[{"id":28174,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28172\/revisions\/28174"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/28173"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=28172"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=28172"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=28172"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}