Back to Blog

Log4J: una vulnerabilidad
que puede ser combatida

By
Antonio Huertas
|
January 31, 2022

La vulnerabilidad de Apache Log4J, que se hizo pública  el mes pasado, sigue siendo noticia en la prensa, tanto especializada como generalista. Y con razón: el fallo podría tener graves consecuencias para muchas organizaciones, tanto públicas como privadas.

 

Coger al atacante “a contrapelo” 

Como veremos a continuación, la vulnerabilidad Log4J está probablemente presente en la mayoría de las empresas. Y muy a menudo está presente sin que nadie lo sepa, especialmente los equipos encargados del departamento informático (IT).

Sin embargo, esta vulnerabilidad y su explotación tienen poco o ningún impacto en la empresa. En realidad, lo que representa un verdadero riesgo son los pasos que siguen y que permitirán a un atacante utilizar esta puerta abierta para entrar, moverse y llevar a cabo su ataque. Como sabemos muy bien, el objetivo principal del atacante suele ser robar información y cifrar el mayor número posible de sistemas.

Sin embargo, un atacante tarda horas, días o incluso semanas en alcanzar su objetivo final. Durante este tiempo, sólo el análisis del comportamiento de los flujos dentro de la empresa puede detectar e identificar la ruta de avance y detener al atacante. El atacante es entonces detenido en su camino, antes de que alcance su objetivo. En el proceso, se obtiene una buena perspectiva de sus acciones y, a menudo, mucha información sobre quién es.

 

Dote su infraestructura de IA

Un agujero en la coraza de nuestros sistemas. Como recordatorio, Log4J es el nombre de una funcionalidad de JAVA conocida por los especialistas y sobre la que se ha identificado una importante vulnerabilidad en los últimos días. Esta vulnerabilidad es muy importante ya que la funcionalidad en cuestión y su biblioteca asociada son muy utilizadas en las empresas. Además, esta funcionalidad de código abierto suele estar embebida en el software, las herramientas y los objetos conectados sin que el propietario del componente sea consciente de ello. Esto da lugar a un gran número de vulnerabilidades en empresas que, en su mayoría, desconocen la presencia de estas "bombas de relojería".

En cuanto al origen de la vulnerabilidad, hay dos posibilidades: o bien Log4J es un error de desarrollo, o bien se trata de un intento deliberado de introducir una puerta trasera en un software ampliamente utilizado. En este caso, significa que alguien conocía este fallo desde hace mucho tiempo. Esto podría haberles dado ventaja para hacerse con muchos sistemas. 

Pero al final, no importa: ya sea un error de desarrollo o una intención de hacer daño, el daño está hecho y ahora deja la posibilidad de que todos los hackers, en ciernes o experimentados, afinen sus propias herramientas para explotar el agujero que ha quedado abierto en muchos lugares de la manera más eficiente posible.

A día de hoy, hay un agujero en la coraza de muchos sistemas y las organizaciones de todo el mundo se enfrentan al reto de identificarlo y taparlo lo antes posible. Están aún más presionados, ya que muchos grupos de ciberdelincuentes, ya sean estatales, relacionados con el Estado o privados (con ánimo de lucro), han aumentado sus ataques desde que se anunció la vulnerabilidad. Los expertos de Microsoft han detectado, por ejemplo, actividades de Hafnium, un grupo conocido ubicado en China, pero también de atacantes norcoreanos o iraníes. Las redes de bots se han apoderado de Log4J, así como afiliados de operadores de ransomware. En total, hemos contabilizado unos sesenta tipos de ataques diferentes y decenas de millones de intentos hasta la fecha....

 

Una vulnerabilidad en curso de explotación

Entonces, ¿qué está pasando? Actualmente, individuos malintencionados están explotando la vulnerabilidad de Log4J. Todos los sistemas están potencialmente afectados, incluidos los que no son responsabilidad del departamento de IT. Aquí es donde radica parte del vértigo que provoca la vulnerabilidad Log4J: los sistemas JAVA suelen estar integrados en sistemas industriales, fuera del ámbito de la responsabilidad de las TI. Por lo tanto, la brecha que se acaba de abrir con Log4J es enorme, y las empresas tienen dificultades para aislar el módulo en cuestión, en cada uno de los lugares donde se encuentra. Esto significa que no saben si están siendo infectados o no. ¿Su miedo? Que la puerta abierta (y sin llave) que es Log4J permitirá a los ciberatacantes penetrar en su sistema a través de una máquina y pedir un rescate. El escenario es bien conocido: una vez dentro de la casa, el atacante instala su kit de herramientas, se apodera de la máquina e instala su propio software. El ciberatacante puede entonces empezar a trabajar. 

Su primera tarea suele ser identificar su lugar de aterrizaje y designar su próximo punto de apoyo. A continuación, puede desplazarse lateralmente y borrar todo rastro de su llegada inicial.

La máquina portadora de la vulnerabilidad Log4J ya no es entonces la meta y su uso ya no es necesario para lograr el objetivo.

 

Una solución: la IA

Ante este panorama, seamos optimistas. Esta crisis provocada por la vulnerabilidad Log4J puede ser gestionada por nuestras empresas. ¿Por qué? Simplemente porque todavía tenemos los medios para actuar. El hecho de que individuos malintencionados irrumpan en los sistemas informáticos de nuestras organizaciones no significa que los golpes que vayan a asestar den necesariamente en el blanco. Una de las herramientas de defensa de las que disponemos hoy en día, y que ha avanzado enormemente en los últimos años, es la Inteligencia Artificial. Gracias a la IA, ahora podemos hacer análisis de comportamiento, y así identificar, con toda seguridad (subrayamos este punto porque es importante), cualquier movimiento sospechoso dentro de nuestra arquitectura informática. Podemos identificar movimientos laterales inadecuados en el mismo momento en que los ladrones han entrado en la casa. Podemos definir en segundos si el sistema está infectado o no, lo que en el caso de Log4J es importante. Cualquier organización pública o privada que lo desee puede averiguar hoy mismo si su coraza ha sido violado o no. Si es el caso, la organización puede evitar que se lance el ataque aislando los movimientos sospechosos dentro de su sistema.

 

Las herramientas de Inteligencia Artificial son probablemente las únicas soluciones que tenemos para enfrentarnos a Log4J. Tienen la desventaja de ser conocidos, y por tanto su automatización nos permitirá sin duda saber en pocos segundos si un sistema está infectado y un atacante ha iniciado su progresión. La defensa puede entonces desplegarse al instante, y Log4J puede pasar rápidamente a la historia.