En diciembre de 2021, el anuncio de una vulnerabilidad de Log4j se convirtió en una llamada de atención para los proveedores de software de todo el mundo. Las organizaciones de todo el mundo debían buscar el componente log4j en todas sus aplicaciones y asegurarse que tenían un plan de acción para mantener a sus usuarios a salvo. No hacerlo podría tener resultados devastadores. Muchos han llegado a decir que el impacto de Log4j podría ser incluso más grave que el famoso hackeo de Equifax de 2017.
¿Qué es la vulnerabilidad de Log4j?
El 9 de diciembre salieron los primeros anuncios de la vulnerabilidad. CVE-2021-4228, es un componente de registro de código abierto que se utiliza en numerosas aplicaciones. Frameworks populares como Apache incluyen Log4j, por lo que es omnipresente en los principales actores tecnológicos y su software. CBS News dijo, sobre el impacto, que «la lista de víctimas potenciales abarca casi un tercio de todos los servidores web del mundo».
La vulnerabilidad es especialmente crítica porque es sencilla de explotar. Según Sonatype, «se trata de un ataque de baja cualificación que es extremadamente sencillo de ejecutar. Permite al atacante ejecutar código arbitrario en cualquier aplicación que sea vulnerable y utilizar esta capacidad para ejecutar un ataque».
Una de las primeras organizaciones en descubrir la vulnerabilidad de Log4j fue el popular juego online Minecraft. Dado que Log4j se utilizaba para registrar los mensajes de chat dentro del juego, la vulnerabilidad significaba que cualquiera dentro de un servidor público de Minecraft podía explotar a otros dentro del servidor, simplemente escribiendo comandos en el cuadro de chat.
¿Qué pasa ahora?
Ahora que el mundo conoce la vulnerabilidad de log4j, las empresas siguen trabajando para parchear sus aplicaciones y garantizar que sus usuarios estén a salvo de este catastrófico fallo de seguridad.
La Comisión Federal de Comercio publicó un severo anuncio el 4 de enero: «La FTC tiene la intención de utilizar toda su autoridad legal para perseguir a las empresas que no tomen medidas razonables para proteger los datos de los consumidores de la exposición como resultado de Log4j, o vulnerabilidades similares conocidas en el futuro».
A medida que las grandes empresas empiezan a lanzar parches y los titulares empiezan a dejar de lado todo el tema, empezamos a respirar aliviados. Pero, si no salimos de toda esta situación con mejores conocimientos sobre cómo evitar que algo similar vuelva a suceder, podríamos estar preparándonos para un fracaso aún mayor.
Lecciones aprendidas de la vulnerabilidad de Log4j
Una de las mayores lecciones de la vulnerabilidad de Log4j es que las empresas deben saber lo que hay dentro de su software para mantenerse a salvo a sí mismas y a sus clientes.
Sergio Caltagirone, vicepresidente de inteligencia de amenazas de la empresa de ciberseguridad Dragos, fue entrevistado por CBS News e hizo la analogía: «La gente es capaz de decir: ‘¿Soy alérgico a los cacahuetes? ¿Tiene esto frutos secos?». Ahora tenemos que ser capaces de decir: ‘Ha salido esta vulnerabilidad de log4j. ¿Tengo esto en mi entorno?'».
Pero, ¿Cómo tener una lista de componentes de una aplicación? Es importante crear una lista de materiales de software (SBOM). La cual enumera todos los nombres de los componentes, la información de la licencia, los números de versión y los proveedores dentro de cada una de las aplicaciones de una empresa.
Los SBOM permiten a las organizaciones responder rápidamente a preguntas en situaciones críticas. En cuestión de minutos, una empresa con un SBOM puede rastrear componentes vulnerables conocidos y tomar decisiones informadas para salvaguardar esas áreas específicas de sus aplicaciones. Un SBOM no sólo funciona en una situación extrema como la de Log4j, sino que también hace más eficiente y sencillo para los equipos de desarrollo remediar otras vulnerabilidades diversas a medida que construyen software en el día a día.
Pero, ¿cuál es el siguiente paso en la construcción de su lista de materiales de Software? Nuestros socios de Sonatype proporcionan soluciones de primera clase para todos los aspectos del Análisis de Composición de Software, incluyendo la construcción de un SBOM.
Descubre más aquí: https://www.sonatype.com/products/vulnerability-scanner
Para más información: