Fa uns dies publicàvem l'alerta crítica de Apache Log4j, ara t'expliquem millor el perquè de la seva magnitud.
El problema resideix a Log4j, una llibreria Java que es fa servir massivament en sistemes empresarials i aplicacions web. El problema ja ha afectat servidors de Minecraft que es van piratejar amb un senzill missatge al xat de la partida, però la amenaça és enorme per a tot tipus de plataformes. Afortunadament hi ha pegat, així que els administradors de sistemes haurien de corregir el problema com més aviat millor.
Un problema contra el qual els usuaris finals poden fer ben poc (però sí els administradors de sistemes)
Log4j és un entorn de treball per a registrar activitat a Apache i que permet monitoritzar l'activitat en una aplicació. El CEO de Cloudflare, Matthew Prince, va avisar fa uns dies que el problema era tan gros que la seva empresa tractaria de desplegar certs mecanismes per mitigar-lo fins i tot per a clients del servei gratuït.
Tot el que havia de fer un atacant per explotar el problema és enviar un tros de codi maliciós: aquest codi acabarà sent registrat per Log4j si està a la seva versió 2.0 o superior, i en fer-ho donarà accés a l'atacant al sistema, que podrà executar codi de manera remotament.
Free Wortley, CEO de la plataforma de seguretat LunaSec, explicava que aquesta vulnerabilitat és «una fallada de disseny de proporcions catastròfiques» a la llibreria, i el problema es va explotar per exemple als servidors de Minecraft.
In case of Minecraft, atacadors s'aplicaran a la remota code execution on Minecraft Servers simplement passting aa short message into el xat box.
— Marcus Hutchins (@MalwareTechBlog) December 10, 2021
Diverses agències nacionals de ciberseguretat van publicar alertes sobre el tema, i els experts avisaven de com era de fàcil exposar especialment grans empreses que usen aquesta llibreria de forma habitual. La mateixa Apache Software Foundation va qualificar la vulnerabilitat.corregida a Log4j 2.15.0— amb un índex de perillositat de 10 sobre 10.
La vulnerabilitat és peculiar per moltes coses però també per una cridanera: aquesta llibreria, crítica per a moltes plataformes, està sent mantinguda per només tres desenvolupadors… en el seu temps lliure.
Aquests tres desenvolupadors van aconseguir aturar el problema i ja han publicat els pegats que permeten a qualsevol administrador de sistema actualitzar aquest component dels seus sistemes per evitar que el problema pugui afectar els vostres serveis.
Els usuaris finals poc poden fer llevat que tinguin servidors on tinguin instal·lats serveis i aplicacions que puguin utilitzar aquest component. En aquest cas, com els administradors de grans plataformes i serveis, la clau és actualitzar els sistemes perquè aquest component es corregeixi amb el pegat publicat per aquests tres desenvolupadors.