El viernes día 10/12/2021 se ha hecho pública una nueva vulnerabilidad «zero-day» que afecta a la seguridad del software de Log4j y ha recibido el nombre de Log4Shell, identificándose como CVE-2021-44228 y con una valoración de criticidad de 10 sobre 10, afectando a todas las versiones de Apache log4j-core con versiones desde la 2.0-beta9 hasta la 2.14.1, ambas incluidas.
La peculiaridad de esta vulnerabilidad es su magnitud, ya que es usado por millones de empresas y servicios digitales. Apache Log4j es una biblioteca de código abierto y sirve para monitorizar la actividad en las aplicaciones que pertenecen al lenguaje de programación Java. No es una función conocida por los usuarios, pero sí que es una herramienta utilizada por los fabricantes de software. Como pueden ser Microsoft, Oracle, Vmware, etc.
Entidades como Incibe disponen de información más completa sobre el estado de la vulnerabilidad en este enlace. En él se avisa de que ya se puede estar explotando de manera activa por cibercriminales, por lo que recomiendan que se tomen medidas de protección y mitigación del error. Además, se ha iniciado un proyecto de inventario del estado de la vulnerabilidad por parte de los diferentes fabricantes de software que se puede usar como referencia para consultar el estado de su software: Más información
Desde Edisa hemos estamos investigando nuestro código y dependencias de librerías y software de terceros. Ahora mismo la situación es la siguiente:
- Oracle Database: En base a la nota oficial de Oracle, Apache Log4j Security Alert CVE-2021-44228 Products and Versions (Doc ID 2827611.1) no se requiere parche para Oracle Database.
- Oracle Forms & Reports Libra: En este entorno se usa la librería log4j pero en una versión no afectada por la vulnerabilidad, por lo que no está afectado por esta vulnerabilidad.
- Movilidad Libra: No está afectado por esta vulnerabilidad.
- Servicios Galileo Libra: No está afectado por esta vulnerabilidad.
- Cliente Libra: No está afectado por esta vulnerabilidad.
La tecnología en la que se soporta LIBRA parece por tanto que no se ve afectada, pero no conviene bajar la guardia, porque en una empresa hay muchos otros sistemas que si podrían estar afectados por esta vulnerabilidad.
Quisiéramos aprovechar la ocasión para hacer algunas recomendaciones para que este tipo de incidentes afecten lo menos posible a la operativa de la empresa:
- Mantener una política de actualización de software y evitar software sin soporte.
- Aplicar políticas de protección a nivel de Red con Firewalls, WAF o similares y a nivel de Endpoint con un software Antivirus.
- Disponer de un plan de detección de vulnerabilidades y riesgos que se ejecute de manera periódica.
- Disponer de un plan de Copias de seguridad y, si es el caso continuación de negocio que garanticen el RTO (tiempo máximo de parada de sistema) y RPO (tiempo máximo de perdida de datos) definido en dicho plan.
Aprovechamos también esta comunicación para recordar a todas las empresas la importancia de disponer de una copia de LIBRA (datos y parametrización) en modalidad off line, es decir que la copia de seguridad esté en un soporte sin acceso de ningún tipo a internet y fuera de la empresa. Esta recomendación es también extensiva para todas las empresas que estáis en un datacenter (Cloud).
Es importante indicar que los ataques más frecuentes en la actualidad se orientan a encriptar la información de la empresa, pidiendo un rescate para poder recuperar la información. La única forma para que no puedan encriptar la copia de seguridad es que ésta esté off line y por tanto creemos que es bueno que todos nos hagamos la siguiente pregunta: ¿Disponemos de alguna copia reciente de nuestros datos de LIBRA off line?