- Uso de Versiones Vulnerables: Aproximadamente el 38% de las aplicaciones que utilizan la biblioteca Apache Log4j están empleando una versión susceptible a problemas de seguridad, incluyendo Log4Shell, una vulnerabilidad crítica identificada como CVE-2021-44228. Esta vulnerabilidad tiene la máxima calificación de gravedad, y aunque existen parches desde hace más de dos años, muchas organizaciones continúan utilizando versiones vulnerables.
- Log4Shell: Es una falla de ejecución remota de código (RCE) no autenticada que permite tomar el control total de los sistemas con Log4j desde la versión 2.0-beta9 hasta la 2.15.0. Esta vulnerabilidad fue descubierta como un exploit de día cero activamente explotado el 10 de diciembre de 2021.
- Datos de Veracode: Un informe de la empresa de seguridad de aplicaciones Veracode, basado en datos recopilados entre el 15 de agosto y el 15 de noviembre, destaca que "problemas antiguos" pueden persistir durante períodos extensos.
- Superficie de Ataque Consolidada: Veracode recopiló datos durante 90 días de 3,866 organizaciones que utilizan 38,278 aplicaciones dependientes de Log4j con versiones entre 1.1 y 3.0.0-alpha1. De estas aplicaciones, el 2.8% utiliza variantes de Log4J 2.0-beta9 a 2.15.0, directamente vulnerables a Log4Shell. Otro 3.8% usa Log4j 2.17.0, que, aunque no es vulnerable a Log4Shell, es susceptible a CVE-2021-44832.
🚀 Prácticas de Seguridad Deficientes:
- Uso Continuado de Versiones Antiguas: El uso continuo de versiones desactualizadas de la biblioteca indica un problema persistente, que Veracode atribuye a los desarrolladores que desean evitar complicaciones innecesarias.
- Actualizaciones de Bibliotecas de Terceros: Según los hallazgos de Veracode, el 79% de los desarrolladores optan por nunca actualizar las bibliotecas de terceros después de su inclusión inicial en su base de código para evitar romper la funcionalidad.
📌 Conclusión y Recomendaciones:
- Necesidad de Actualización Urgente: La recomendación para las empresas es escanear su entorno, encontrar las versiones de bibliotecas de código abierto en uso y luego desarrollar un plan de actualización de emergencia para todas ellas.
- Log4j como Fuente de Riesgo: Log4j sigue siendo una fuente de riesgo en 1 de cada 3 casos y puede ser fácilmente una de las múltiples formas en que los atacantes pueden aprovechar para comprometer un objetivo.
#Ciberseguridad #Log4j #Vulnerabilidad #SeguridadInformática #Apache