La vulnerabilidad Log4j: lo que significa esta vulnerabilidad crítica para su empresa – Tecnología

Resumen ejecutivo

A medida que las empresas se esfuerzan por abordar la vulnerabilidad ubicua y recientemente explotada de Log4j, las acciones de las empresas ahora son la fuente potencial para el escrutinio del gobierno. Nuestro equipo de privacidad, cibernética y seguridad de datos resume qué es la vulnerabilidad Log4j y cómo se está explotando, la advertencia reciente de la Comisión Federal de Comercio para tomar la vulnerabilidad en serio y la guía publicada de los sectores público y privado sobre los pasos de remediación.

• La vulnerabilidad afecta a las versiones 2.0 a 2.16 y puede permitir ataques DoS
• La FTC lo llama un «riesgo severo» y dice que «usará toda su autoridad legal» contra las empresas que no protegen a los consumidores.
• Principios generales y recursos que pueden orientar su análisis

Durante el mes pasado, los sectores público y privado observaron con creciente preocupación cómo se materializaba el alcance de la vulnerabilidad de Log4j. La mejor inteligencia actualizada sobre la vulnerabilidad y los pasos de mitigación recomendados proviene de las empresas de seguridad y el gobierno a través de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Si bien la vulnerabilidad en sí presenta riesgos potenciales significativos para las empresas y sus productos, ahora también existe la posibilidad de que la Comisión Federal de Comercio (FTC) haga cumplir la ley u otra revisión regulatoria de las empresas que no toman «medidas razonables» para abordar la vulnerabilidad.

¿Qué es la vulnerabilidad Log4j?

Los socios del sector público y privado informan que la vulnerabilidad Log4j es la vulnerabilidad más prolífica (o una de las más) jamás informada. La vulnerabilidad se encuentra en una herramienta basada en Java de la biblioteca de código abierto de Apache utilizada para analizar registros. La herramienta básicamente proporciona un sistema de registro para que las aplicaciones mantengan una lista actualizada de las actividades que han realizado.

Inicialmente, se creía que la vulnerabilidad afectaba a las versiones 2.0 a 2.14.1 de Log4j como una forma en que un atacante podría participar en la ejecución remota de código (RCE). El RCE podría permitir que el atacante tome el control total del sistema y luego robe información, inicie ransomware o realice otra actividad maliciosa. Ahora, también se sabe que la vulnerabilidad también puede permitir ataques de denegación de servicio y puede tener diversos grados de impacto en las versiones 2.0 a 2.16.

La vulnerabilidad es prolífica porque Log4j es ampliamente utilizado por aplicaciones y dispositivos empresariales y en la nube, y las versiones afectadas de las aplicaciones se lanzaron a partir de 2013. CISA ha compilado un repositorio Githubidentificar proveedores y software potencialmente afectados y enumerar su estado (afectado, no afectado, bajo investigación o reparado) y si se ha lanzado o no un parche. Esta lista actualmente incluye miles de proveedores y productos de software, y las fuentes gubernamentales indican que la cantidad de entidades que finalmente tocan los recursos, incluido Log4j, puede ser de cientos de millones.

¿Cómo se explota Log4j?

Si bien la vulnerabilidad se anunció públicamente el 9 de diciembre de 2021, parece que se presentó en una conferencia de Black Hat en 2016. Si bien los informes iniciales de explotación se relacionaron principalmente con script kiddies que encontraron la vulnerabilidad y colocaron el código de minería de bitcoin en los servidores de Minecraft, ahora también hay informes de actividades de seguimiento que incluyen tanto actividades criminales infames como actores patrocinados por el estado. Las empresas de seguridad informaron que muchos atacantes existentes agregaron exploits relacionados con Log4j a sus herramientas y tácticas de malware existentes y que los intentos de explotación se mantuvieron altos hasta fines de 2021.

¿Qué es el riesgo legal o regulatorio?

Cualquier vulnerabilidad significativa, en particular una que pueda explotarse para implementar ransomware o que potencialmente proporcione un punto de apoyo para la exfiltración de datos, puede presentar posibles riesgos legales y regulatorios. Pero ahora, la FTC ha advertido a las empresas que «tiene la intención de usar toda su autoridad legal» contra cualquier empresa que no tome «medidas razonables» para proteger a los consumidores de la vulnerabilidad de Log4j. En un 4 de enero de 2022 liberar, la FTC advierte que la vulnerabilidad Log4j está siendo ampliamente explotada por un número creciente de atacantes y representa un «grave riesgo» para millones de productos de consumo. La FTC insta a las empresas a «actuar ahora» para mitigar las amenazas de la vulnerabilidad Log4j o «vulnerabilidades similares conocidas» o arriesgarse a emprender acciones legales. Desafortunadamente, la FTC no brinda orientación sobre cuáles pueden ser estas «vulnerabilidades conocidas similares»:

El deber de tomar medidas razonables para mitigar las vulnerabilidades de software conocidas implica leyes que incluyen, entre otras, la Ley de la Comisión Federal de Comercio y la Ley Gramm Leach Bliley. Es fundamental que las empresas y sus proveedores que confían en Log4j actúen ahora para reducir la probabilidad de daños a los consumidores y evitar acciones legales de la FTC.

Según la FTC, las empresas que usan Log4j deben actualizar los paquetes de software a la versión más reciente, tomar medidas para identificar y remediar esta vulnerabilidad y distribuir información sobre la vulnerabilidad a terceros relevantes con los consumidores que pueden ser vulnerables. La FTC también alienta a las empresas a consultar Orientación de CISA para medidas adicionales de mitigación. Sin embargo, la declaración de la FTC no aborda el hecho de que muchas empresas no podrán actualizar o aplicar parches a sus productos hasta que un proveedor publique actualizaciones o brinde más instrucciones y, como se ilustra en el repositorio CISA Github, la lista de productos pendientes de parches es significativa. .

¿Cómo puede mi organización mitigar esta vulnerabilidad y el riesgo asociado?

No existe un enfoque único para todos los pasos razonables que una organización debe tomar para investigar y mitigar la vulnerabilidad de Log4j. Sin embargo, existen principios generales y recursos que pueden guiar su análisis.

• Entiende tu postura de riesgo. Debido al uso generalizado de Log4j en aplicaciones y sistemas front-end y back-end, puede ser muy difícil identificar y mitigar todas las aplicaciones, servidores, tecnología operativa y otros sistemas que utilizan Log4j. Además, una empresa puede depender de los proveedores para proporcionar servicios de parches cuando la vulnerabilidad Log4j está integrada en uno de sus productos. No obstante, las empresas deben tomar medidas para comprender su posible exposición al riesgo de esta vulnerabilidad, incluso identificando dónde una organización está utilizando Log4j de la mejor manera posible y el tipo de datos que podrían verse afectados si se explota la vulnerabilidad. Para ayudar en este proceso de identificación, CISA ha publicado listas de recursos que pueden utilizarse para identificar los usos de Log4j en el entorno de una empresa.
• Una vez que identifique el uso de Log4j, considere la guía publicada sobre los pasos de mitigación apropiados para su organización. Una vez que se identifica Log4j, los socios del sector público y privado recomiendan aplicar parches si es posible (ya están disponibles múltiples actualizaciones de Apache), monitorear si es posible y segmentar cualquier producto que no pueda aplicar parches para que no haya acceso a Internet saliente. Además, estas fuentes también recomiendan usar un firewall de aplicaciones web para bloquear el tráfico si no puede parchear y no puede segmentar. Más detalles sobre La guía de CISA y recomendaciones técnicas de mitigación más detalladas están disponibles aquí.

En última instancia, puede llevar meses o incluso años conocer, y mitigar, el alcance total de esta vulnerabilidad. En realidad, la forma en que cada organización podrá mitigar esta vulnerabilidad deberá adaptarse a sus operaciones porque algunas pueden tener menos control o visibilidad sobre los sistemas que ejecutan Log4j.

El contenido de este artículo pretende proporcionar una guía general sobre el tema. El consejo de especialistas debe ser buscado de acuerdo a sus circunstancias especificas.