Log4Shell: ¿en qué consiste esta vulnerabilidad?

4min

Hoy vamos a explicar el origen y solución de la vulnerabilidad Log4Shell, que ha supuesto que una inmensa cantidad de aplicaciones potencialmente permitan a atacantes tomar el control de los servidores.  Log4Shell es una vulnerabilidad existente en versiones de la popular librería Log4j, desarrollada bajo el lenguaje de programación Java.

Índice

Qué es Log4j

Log4j es una librería open source desarrollada en Java y mantenida por la fundación Apache, que tiene como objetivo realizar el registro de mensajes relativos a las acciones que se realizan dentro de una aplicación. 

Este tipo de software se usa a menudo para registrar errores que se han producido dentro de la aplicación, pero en general pueden registrarse cualquier tipo de transacciones en el uso del día a día, y ordenarlas por su tipo e importancia.

Las aplicaciones de Log son muy populares en el desarrollo en general, porque nos permiten estar al tanto de las incidencias en la aplicación, así como el uso que se está realizando de ésta. Por tanto, son un complemento usado en programas de todo tipo. Este es el motivo por el que nos encontramos ante una biblioteca de código muy popular, que se usa como base en innumerables aplicaciones a lo largo del mundo.

Qué es Log4Shell

Log4Shell es una vulnerabilidad existente en el software Log4j de la fundación Apache. Ha sido un agujero de seguridad muy relevante, por diversos motivos. Entre ellos porque los atacantes han podido detectarla incluso antes de que haya sido reportada por los expertos en seguridad.

Este tipo de vulnerabilidades se clasifica comúnmente como zero-day porque ha podido dejar al descubierto numerosas aplicaciones durante un tiempo, en el que no se sabía de la existencia de este agujero y por supuesto tampoco se había publicado todavía una actualización para solucionarla.

Este agujero de seguridad permite a un atacante ejecutar código malicioso dentro de un servidor, a través de la librería Log4j. Explotando esta vulnerabilidad los atacantes podrían tomar el control de la máquina y realizar potencialmente cualquier uso de ella, siempre que el servidor tenga instalada una versión vulnerable de Log4j.

Actualmente esta vulnerabilidad está resuelta, por lo que solucionarla sería tan sencillo como actualizar las versiones de las aplicaciones que hacen uso de ellas, o simplemente actualizar las dependencias de las aplicaciones propias.

Cómo se explota Log4Shell

Para que un atacante consiga utilizar Log4Shell únicamente necesita realizar una conexión por HTTP contra el servidor implicado, que puede estar usando Log4j en cualquiera de las aplicaciones que tenga instaladas. 

Debido al uso de HTTP, esta vulnerabilidad se puede explotar mediante servidores web instalados en la máquina, aunque en la práctica simplemente necesita enviar datos que sean controlados por el usuario y enviados posteriormente a Log4j.

La importancia de la actualización del software libre

Aunque exista ya solución para Log4Shell es importante entender las implicaciones que tiene usar software libre dentro de un servidor, ya sea como software instalado en la máquina o en las dependencias de las aplicaciones desplegadas en él.

Por sus características, el software libre está ampliamente extendido en todo tipo de sistemas y aplicaciones. Existen muchas piezas de software como el caso de Log4j que, forman parte de numerosas aplicaciones, tanto privativas como open source. Cualquier vulnerabilidad en ellas repercute directamente en la seguridad de la aplicación y puede comprometer todo el servidor donde está instalada.

Una vez reportado el problema de seguridad de Log4j, los mantenedores del software en la fundación Apache tardaron todavía aproximadamente dos semanas en resolverlo. Esto ocurrió durante el año 2021. Sin embargo, aplicaciones y servidores mantenidos con poca frecuencia siguen usando versiones vulnerables de Log4j y por tanto mantienen brechas de seguridad que los atacantes están consiguiendo explotar a día de hoy.

Podemos encontrar más información sobre Log4Shell en la página de Incibe.

Fernán García de Zúñiga

Productos relacionados: