¿Es su IBM i vulnerable a los ciberataques de Log4j?

Log4Shell plantea la vulnerabilidad más grave

El software se utiliza para registrar todo tipo de actividades que tienen lugar bajo el capó de una amplia gama de sistemas informáticos, incluido elIBM i.

Jen Easterly, Directora de la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU., describió Log4Shell como vulnerabilidad más grave También es una de las mejores colegas de seguridad que hemos visto en su carrera, Bruce F. Bading. Ya ha habido cientos de miles, quizá millones, de intentos de explotar la vulnerabilidad.

¿Qué hace Log4j?

Log4j registra eventos -errores y operaciones rutinarias del sistema- y comunica mensajes de diagnóstico sobre ellos a los administradores y usuarios del sistema. Se trata de un software de código abierto proporcionado por Fundación del Software Apache.

¿Cómo funciona Log4Shell?

Log4Shell funciona abusando de una función de Log4j que permite a los usuarios especificar código personalizado para dar formato a un mensaje de registro. Esta función permite a Log4j, por ejemplo, registrar no sólo el nombre de usuario asociado a cada intento de conexión al servidor, sino también el nombre real de la persona, si un servidor independiente contiene un directorio que vincule nombres de usuario y nombres reales. Para ello, el servidor Log4j debe comunicarse con el servidor que contiene los nombres reales.

Log4j abre la puerta a «hackers» y agujeros de seguridad

Por desgracia, este tipo de código puede utilizarse para algo más que formatear mensajes de registro. Las versiones vulnerables de Log4j permiten a servidores de terceros enviar código de software capaz de realizar todo tipo de acciones en el ordenador atacado. Esto abre la puerta a actividades nefastas como el robo de información sensible, la toma de control total del sistema atacado y la transferencia de contenido malicioso a otros usuarios que se comunican con el servidor en cuestión.

Log4Shell es fácil de usar

Log4Shell es relativamente sencillo de ejecutar. He podido reproducir el problema en mi copia de Ghidra, un marco de ingeniería inversa para investigadores de seguridad, en sólo unos minutos. Hay un listón muy bajo para utilizar este exploit, lo que significa que más gente con malas intenciones puede utilizarlo.

Log4j está en todas partes, incluso en IBM i

Una de las principales preocupaciones sobre Log4Shell es la posición de Log4j en el ecosistema del software. El registro es una funcionalidad fundamental de la mayoría de los programas informáticos, que permite Log4j está muy extendido. Se utiliza en IBM WebSphere (WAS), IBM i Navigator, Apache HTTP, software IBM i HA, servicios en la nube como Apple iCloud y Amazon Web Services, así como en una amplia gama de programas de herramientas de desarrollo de software en herramientas de seguridad y cualquier versión de IBM i Client Solutions anterior a 1.8.8.7.

Esto significa que los piratas informáticos tienen un amplio abanico de objetivos entre los que elegir: usuarios de IBM i, proveedores de servicios, desarrolladores de código fuente e incluso investigadores de seguridad. Así, mientras que grandes empresas como IBM y Amazon pueden parchear rápidamente sus servicios web para evitar que los piratas informáticos se aprovechen de ellos, muchas otras organizaciones tardarán más en parchear sus sistemas, y puede que algunas ni siquiera sepan que lo necesitan.

Los daños que puede causar

Los piratas informáticos rastrean Internet en busca de servidores vulnerables y configuran máquinas capaces de enviar cargas maliciosas. Para llevar a cabo un ataque, interrogan a los servicios (por ejemplo, servidores web) e intentan activar un mensaje de registro (por ejemplo, un error 404). La solicitud incluye texto malicioso, que Log4j trata como instrucciones.

Estas instrucciones pueden crear un reverse shell, que permite al servidor atacante controlar remotamente el servidor objetivo, o pueden integrar el servidor objetivo en un botnet. Los botnets utilizan varios ordenadores pirateados para llevar a cabo acciones coordinadas en nombre de los piratas informáticos.

Los hackers ya están abusando de Log4Shell… y de nuevas formas. ¡Ay!

A gran número de piratas ya están tratando de abusar de Log4Shell. Estos van desde bandas de ransomware en grupos de hackers que intentan minar bitcoin y hackers asociados con la China y Corea del Norte intentando acceder a la información sensible de sus rivales geopolíticos. El Ministerio de Defensa belga informó de que sus ordenadores estaban atacado usando Log4Shell.

Aunque la vulnerabilidad recibió amplia atención por primera vez el 9 de diciembre de 2021, la gente sigue identificando nuevas formas de causar daños a través de este mecanismo.

¿Cómo detengo la hemorragia de Log4j?

Es difícil saber si Log4j se utiliza en un determinado sistema de software, ya que a menudo es integrado con otros programas informáticos. Esto obliga a los administradores de sistemas a inventariar su software para identificar su presencia. Si algunas personas ni siquiera saben que tienen un problema, es mucho más difícil erradicar la vulnerabilidad y no puedes defenderte de lo que no conoces.

Otra consecuencia de los diversos usos de Log4j es que no existe una solución única para corregirlo. Dependiendo de cómo se haya integrado Log4j en un sistema determinado, el parche requerirá distintos enfoques. Esto podría requerir una actualización general de los sistemas, como es el caso de algunos routers Cisco, o una actualización a una nueva versión del software, o la eliminación manual del código vulnerable para aquellos que no puedan actualizar el software.

Log4Shell forma parte de la cadena de suministro de software. Al igual que los objetos físicos que la gente compra, el software pasa por diferentes organizaciones y paquetes antes de acabar en un producto final. Cuando algo va mal, en lugar de pasar por un proceso de devolución de llamada, el software suele « parcheado «En otras palabras, corregido en el acto.

Los parches de Log4Shell podrían retrasarse

Sin embargo, como Log4j es presentes de distintas formas en los productos de software, la propagación de un parche requiere la coordinación de los desarrolladores de Log4j, los desarrolladores de software que utilizan Log4j, los distribuidores de software, los operadores de sistemas y los usuarios. Normalmente, esto introduce un retraso entre la disponibilidad del parche en el código de Log4j y los ordenadores de los usuarios cerrando la puerta a la vulnerabilidad.

Las estimaciones del tiempo de reparación del software suelen oscilar entre de unas semanas a varios meses. Sin embargo, si el comportamiento pasado es indicativo de los resultados futuros, es probable que el Log4j surgirán en los próximos años.

Como usuario, probablemente te preguntes qué puedes hacer al respecto. Por desgracia, es difícil saber si un producto de software que está utilizando incluye Log4j y si utiliza versiones vulnerables del software.

Qué puede hacer AHORA para protegerse de las vulnerabilidades de Log4Shell

Sin embargo, usted puede ayudar haciendo caso al refrán común de los expertos en seguridad informática:

• Asegúrate de que todo tu software está actualizado.
• Póngase en contacto con sus proveedores externos para obtener actualizaciones.
• Elimine o desactive cualquier versión vulnerable lo antes posible.

Esto es especialmente importante si está utilizando una versión anterior o de fin de soporte (EOS) de IBM i (anterior a V7.3 o V7.4).

Los análisis de todos los sistemas IBM i, incluidos los sistemas operativos más antiguos y no compatibles, encuentran docenas de archivos log4j vulnerables en el IFS. Ningún sistema es inmune, y cuanto mayor es, más vulnerable es.

Aunque los primeros ataques contra versiones vulnerables de log4j se centraron en servidores LDAP remotos, la atención se desplazó a mediados de diciembre a la Invocación Remota de Métodos (RMI) de la Máquina Virtual Java (JVM).

Esto significa que cualquier servidor, incluido IBM i que ejecute JVM RMI, es vulnerable a un ataque catastrófico.

Este diagrama muestra cómo se llevó a cabo el ataque.

 

Cualquier versión de log4j anterior a la 2.17.1 es vulnerable.

El Centro de Seguridad de Internet dispone de la información más actualizada. El mejor consejo que podemos darte es que tengas cuidado con dónde obtienes tu información, ya que esto puede dejarte vulnerable a los ataques.

Lo mejor es escanear ahora, antes de que sea demasiado tarde.

Respuesta a la vulnerabilidad de día cero de Log4j (cisecurity.org) – Artículo original de Bob Losey: https: //cutt.ly/DPAcTSM

¿Tiene alguna pregunta o proyecto sobre la vulnerabilidad de log4j? Nuestros equipos están a su servicio. Póngase en contacto con nosotros en el 01 88 32 12 34, o a través del formulario de contacto.