{"id":896,"date":"2022-02-10T12:09:01","date_gmt":"2022-02-10T11:09:01","guid":{"rendered":"https:\/\/www.glub.biz\/?p=896"},"modified":"2022-02-10T12:09:01","modified_gmt":"2022-02-10T11:09:01","slug":"vulnerabilidad-critica-en-apache-log4j-log4shell","status":"publish","type":"post","link":"https:\/\/www.glub.biz\/?p=896","title":{"rendered":"Vulnerabilidad cr\u00edtica en Apache Log4j (Log4Shell)"},"content":{"rendered":"

Se ha corregido una vulnerabilidad de severidad cr\u00edtica que afecta a Log4j que podr\u00eda permitir la ejecuci\u00f3n remota de c\u00f3digo. Log4j es una utilidad de registro de c\u00f3digo abierto basada en Java, ampliamente utilizada por aplicaciones empresariales y servicios en la nube.<\/strong>
\n\"Log4j
\nApache es uno de los programas m\u00e1s utilizados por los servidores de Internet. Cuando visitamos cualquier p\u00e1gina web es muy probable que estemos conectado con una m\u00e1quina que tenga instalado el servidor de HTTP Apache. Y dentro de Apache tenemos un software que se encarga de la gesti\u00f3n y control de los archivos de registro o LOGs. Un software que se llama Log4j.<\/p>\n

Log4j es una biblioteca de c\u00f3digo abierto desarrollada en Java por la Apache Software Foundation que permite a los desarrolladores de software escribir mensajes de registro, cuyo prop\u00f3sito es dejar constancia de una determinada transacci\u00f3n en tiempo de ejecuci\u00f3n. Log4j permite filtrar los mensajes en funci\u00f3n de su importancia. La configuraci\u00f3n de salida y granularidad de los mensajes es realizada en tiempo de ejecuci\u00f3n mediante el uso de archivos de configuraci\u00f3n externos.<\/p>\n

El 24 de noviembre del pasado 2021, investigadores independientes de seguridad inform\u00e1tica informaron a Apache sobre una vulnerabilidad tipo ataque de d\u00eda cero que permit\u00eda la ejecuci\u00f3n de c\u00f3digo arbitrario en Log4j, denominada Log4Shell que fue publicada a trav\u00e9s de un tuit el 9 de diciembre de 2021. Los servicios afectados incluyeron Cloudflare, iCloud, Minecraft (Java Edition), Steam, Tencent QQ, y Twitter. La Apache Software Foundation asign\u00f3 a la vulnerabilidad el nivel m\u00e1ximo de 10, por la posibilidad de que millones de servidores fueran potencialmente vulnerables a ciberataques.<\/p>\n

La severidad cr\u00edtica que afecta a Log4j podr\u00eda permitir la ejecuci\u00f3n remota de c\u00f3digo. El procesador Log4j gestiona los mensajes de registro. Si un ciberdelincuente env\u00eda un mensaje especialmente dise\u00f1ado, podr\u00eda ejecutar c\u00f3digo de forma remota. Esta vulnerabilidad podr\u00eda estar ejecut\u00e1ndose de forma activa.<\/p>\n

La vulnerabilidad apareci\u00f3 en las versiones de la 2.0-alpha1 hasta 2.16.0, y fue mitigada con la versi\u00f3n 2.17.0. Los usuarios y desarrolladores de los programas que usen la biblioteca deben actualizarla para obtener las actualizaciones de seguridad. El riesgo de esta vulnerabilidad es que es relativamente f\u00e1cil explotarla, por lo que para las organizaciones es importante revisar si est\u00e1n expuestas a este riesgo, existen diferentes pruebas de concepto que muestran la vulnerabilidad que pueden servir de base para evaluar el riesgo.<\/p>\n

En Log4J los mensajes son enviados a una (o varias) salida de destino, lo que se denomina un appender. Existen varios appenders disponibles y configurados, aunque tambi\u00e9n podemos crear y configurar nuestros propios appenders. T\u00edpicamente la salida de los mensajes es redirigida a un fichero de texto .log, a un servidor remoto donde almacenar registros, a una direcci\u00f3n de correo electr\u00f3nico, e incluso en una base de datos. Casi nunca es utilizado en un entorno de producci\u00f3n la salida a la consola, ya que perder\u00eda gran parte de la utilidad de Log4J.<\/p>\n

Por defecto Log4J tiene seis niveles de prioridad para los mensajes: trace, debug, info, warn, error y fatal. Adem\u00e1s existen otros dos niveles extras, all y off. Estos son los niveles de prioridad (de menor a mayor):<\/p>\n