Aquí explicaremos cuál es la vulnerabilidad específica de Log4j2, por qué es importante y qué herramientas y recursos proporciona Elastic para ayudar a negar la oportunidad de exploits de malware, ciberataques y otros riesgos de ciberseguridad derivados de Log4j2.

¿Qué es Log4j2?

Log4j2 es un marco de trabajo de registro de código abierto incorporado en muchas aplicaciones basadas en Java tanto en sistemas de usuario final como en servidores. Es una de las bibliotecas de registro más populares en línea y ofrece a los desarrolladores un medio para registrar un registro de su actividad que se puede utilizar en varios casos de uso: auditoría de código, monitoreo, seguimiento de datos, resolución de problemas / ajustes y más. Log4j2 es un software gratuito de código abierto que utilizan algunas de las empresas más grandes del mundo.

¿Cómo y por qué se explota Log4j2?

A fines de noviembre de 2021 , se identificó una vulnerabilidad de ejecución remota de código, se informó con el ID de CVE: CVE-2021-44228 y se lanzó al público el 10 de diciembre de 2021. Se accede a la vulnerabilidad y se explota a través de la deserialización incorrecta de la entrada del usuario transmitida. en el marco. Permite la ejecución remota de código y permite que un atacante filtre datos confidenciales, como variables de entorno, o ejecute software malicioso en el sistema de destino, lo que puede tener un peligroso efecto dominó. Como sabemos, este es un asunto serio y ya hemos visto sus efectos en varias empresas, desde Minecraft y Oracle hasta algunos de nuestros productos aquí en Elastic . El gobierno de EE. UU. Ha emitido una advertencia a las empresas para que permanezcan atentos y en alerta máxima durante las vacaciones por posibles ciberataques y problemas de ransomware.

La vulnerabilidad identificada afecta a todas las versiones de Log4j2 desde la versión 2.0-beta9 hasta la versión 2.14.1. Los primeros métodos para corregir el problema dieron como resultado una serie de versiones candidatas, que culminaron en recomendaciones para actualizar el marco a Log4j2 2.15.0-rc2. Para obtener una visión más detallada de cómo y por qué los delincuentes utilizan este exploit de vulnerabilidad, consulte nuestro blog sobre cómo detectar la explotación de log4j2 utilizando Elastic Security .

Cómo Elastic se está acercando al exploit Log4j2 y los problemas que lo rodean

Cuando Elastic se enteró de esta vulnerabilidad y cómo afecta a los productos, los equipos de ingeniería y seguridad trabajaron arduamente para garantizar que nuestros clientes permanecieran seguros, conscientes y estuvieran equipados con el conocimiento de cómo usar nuestros productos para combatir las vulnerabilidades de Log4j2. Publicamos un aviso actualizado que describe la respuesta de Elastic, los productos afectados y no afectados, las actualizaciones y más. También nos complace anunciar nuevas versiones de Elasticsearch y Logstash, 7.16.2 y 6.8.22 , que se actualizan a la última versión de Apache Log4j y abordan las preocupaciones de falsos positivos con algunos escáneres de vulnerabilidades que podrían verse afectados. Elastic también mantiene actualizaciones continuas a través de nuestro aviso. para garantizar que nuestros clientes y comunidades puedan mantenerse actualizados sobre los últimos desarrollos, tal como lo estamos nosotros.

El equipo de Elastic Security también publicó una respuesta y un análisis sobre la falla de seguridad en sí. Como se mencionó anteriormente, también publicamos un blog actualizado sobre cómo detectar exploits log4j2 usando Elastic Security (al que estamos vinculando nuevamente porque es bastante útil). Aquellos que no estén usando Elastic Security pero ahora quieran hacerlo, por favor, echen un vistazo a nuestros cursos de capacitación gratuitos sobre fundamentos y videos de capacitación de inicio rápido .

¿Qué sigue para la vulnerabilidad log4j2 y las empresas y usuarios que podrían verse afectados?

La preocupación por los malos actores que se aprovechan de esta vulnerabilidad, y el número potencial creciente de usuarios maliciosos que lo hacen, es muy real. Es muy necesario contar con las medidas de seguridad adecuadas para combatir estas amenazas y adelantarse a todas ellas.

Esta situación se está desarrollando a medida que se realizan más actualizaciones en Log4j2 con la esperanza de frenar el problema, pero hasta que se resuelva por completo, es necesaria la conciencia y la intencionalidad en lo que respecta a TI y ciberseguridad. A pesar de que el software está parcheado, este no es el final del problema desde la perspectiva de las amenazas de ciberseguridad. Muchos piensan que los exploits recién están comenzando , por lo que, mientras tanto, es primordial que se tomen las medidas adecuadas de ciberseguridad y que se practique la mitigación intencional de amenazas.

Pero Elastic Security puede ayudar.