Desde el viernes 10 de diciembre, una vulnerabilidad denominada «0-day» tiene en vilo al mundo de Java. En realidad, se trata de una vulnerabilidad en Apache Log4J, una de las bibliotecas más utilizadas por las aplicaciones Java. No obstante, existen soluciones para mitigar el riesgo.
Las vulnerabilidades de día cero son las más temidas en el ámbito de la ciberseguridad, ya que se refieren a vulnerabilidades no identificadas o que aún no han recibido . Esta vulnerabilidad de Log4j se calificó rápidamente como una vulnerabilidad de día cero. Sin embargo, esta vulnerabilidad se conoce en realidad desde hace años, como quedó patente en la conferencia BlackHat de 2016.
Los niveles de gravedad y explotabilidad de la vulnerabilidad Log4J la convierten en una amenaza de muy alto riesgo. Se pueden dar los peores escenarios: el ataque a un servidor, mediante una simple solicitud HTTP sin autenticación, permite a cualquier atacante ejecutar el código que desee de forma remota (RCE): borrar, crear archivos, recuperar contraseñas...¡Es una auténtica puerta abierta a todo tipo de intrusiones!
No obstante, hay que matizar algo: para que sean vulnerables, las versiones 1.x deben cumplir una condición muy concreta, tal y como indica el CERT-FR:
«La versión 1 de log4j se declaró inicialmente vulnerable; sin embargo, la vulnerabilidad solo existe si el componente JMS Appender está configurado para admitir JNDI. Se trata, por tanto, de una configuración muy específica».
CERT-FR
No obstante, ante esta vulnerabilidad, las empresas afectadas ya se han puesto manos a la obra para aplicar con carácter de urgencia las correcciones y respuestas necesarias.
¿Nuestros consejos de última hora?
Para saber más
Los CERT nacionales europeos se han movilizado para mantener actualizada una lista de los programas afectados por esta vulnerabilidad. Puede consultarla aquí.
Más información en tiempo real en elboletín de alertas del CERT-FR.
