¿Afecta a mi VPS la Log4j?

Implementador WordPress y VPS
Implementador WordPress y VPS
¿Afecta a mi VPS la Log4j?
icon loader
/

Cuenta la leyenda que fue en el juego Minecraft donde se localizo esta vulnerabilidad crítica de seguridad en la biblioteca de registro de Java… la mundialmente conocida Log4j ya que no pudimos hablar del hackeo de GoDaddy vamos a dar un repaso a esta vulnerabilidad y a sus implicaciones.

¿Afecta a mi VPS la Log4j?
  • A días de terminar el años esta vulnerabilidad se convertido en la más grave del 2021
  • Porque afecta a los servidores que tienen Apache como webserver y usan la biblioteca java Log4j
  • Esta vulnerabilidad es muy grave
  • Por varias razones
    • Permite la ejecución de código remoto
    • No solo afecta a servidores virtuales
    • Todo dispositivo (hardware) que posea la librería puede ser atacado
  • Es decir que si el router de tu casa usa esta librería podrías ser atacado y vos sin darte cuenta
  • Aprendamos juntos de esta librería desconocida para todo mundo hasta esta alarma
  • Apache Log4j
    • Es un biblioteca open source
    • Desarrollada en Java
    • Y permite a los desarrolladores escribir mensajes de registro de los
    • En muchos medios se ha dicho que afecta a fabricantes como Amazon, iCloud de Apple, Cloudflare, Red Hat, Tesla y hasta el mismo Twitter
    • En un inicio se llamo a esta vulnerabilidad
      • Log4Shell
      • LogJam
    • Por sus características para la interfaz de nombrado y directorio Java (JNDI)
    • Que son utilizadas en la configuración, mensajes de registro y parámetros sin protección contra acceso a servicios de directorios remotos
  • ¿Qué puede hacer un cyber criminal con esta vulnerabilidad?
    • Podría descargar, instalar y ejecutar su propio código en el servidor de la víctima
    • Logrando con una sola cadena de texto que una aplicación se comunique con un servidor atacante
    • Tomando control del servidor víctima
    • Al tomar el control el cyber criminal desde el servidor de ataque podría
    • Copiar y ejecutar LO QUE QUIERA
  • Es decir que podrían obtener datos de usuarios
  • Copiar el contenido del disco
  • Instalar malware
  • Bloquear a los administradores auténticos
  • Secuestrar el servidor
  • Encriptar toda la información
  • Y un amplio y espeluznante etcetera
  • Por ejemplo con los servidores de juego con Minecraft
    • Basta con escribir la cadena de texto en el chat
    • Y ya han hackeado el servidor y dependiendo de la linea de texto afectado de una forma o de otra al servidor
  • Existe un sistema de puntaje llamado CVSS
    • Que ha sido diseñado
    • Para proveer un método abierto y estándar
    • Que permite estimar
    • El impacto derivado de una vulnerabilidad
    • Sabés cuanto tiene esta vulnerabilidad Log4j: 10/10
    • Es decir que es MUY GRAVE y muy fácil de explotar
  • Muchas firmas de seguridad
  • Han reportado evidencias
  • Que se están lanzado escaneos masivos
  • Para detectar aplicaciones afectadas
  • Y atacar los servidores vulnerables
  • Cloudflare
    • Desde el viernes pasado
    • Lleva ya mas de 20 mil peticiones por minutos
    • Que buscan explotar esta vulnerabilidad
    • Y en su mayoría vienen Canadá, EE. UU., Países Bajos, Francia y Reino Unido.
  • Y esto es solo el principio
  • Los cyber criminales están haciendo a sus bots más sofisticados
  • Y como es tan sencillo explotar la vulnerabilidad
  • El numero de ataques va ir en aumento conforme pasen los días
  • ¿Como te ha quedado el cuerpo?
  • Al leer sobre esta vulnerabilidad
  • A mi me ha dado un mini infarto
  • Al ponerme a pensar en lo sencillo que es para los cyber criminales explotar la vulnerabilidad
  • Y afectar a los servidores víctimas
  • Pero bueno… Vamos a terminar con la pregunta del millón
    • ¿Esto me afecta a mí?
  • Si usas hosting compartido
    • No lo sé y ya tendrías que preguntarle a tu empresa de hosting
    • De entrada puede ser que no… Y te explico porque
  • Esta librería de Java se instala en el servidor cuando se van a usar aplicaciones Java
  • Por lo que
  • Aunque tu servidor web sea Apache
  • Es poco probable que tengás la librería instalada
  • Pero es mejor preguntar
  • Log4j no tiene nada que hacer en servidores webs
  • Si por el motivo que sea alguien instalo manualmente la librería Log4j
    • Solo afectará a las versiones de Apache:
    • 2.0, 2.0.1, 2.0.2, 2.1, 2.2, 2.3, 2.4, 2.4.1, 2.5, 2.6, 2.6.1, 2.6.2, 2.7, 2.8, 2.8.1, 2.8.2, 2.9.0, 2. 9.1, 2.10.0, 2.11.0, 2.11.1, 2.11.2, 2.12.0, 2.12.1, 2.13.0, 2.13.1, 2.13.2, 2.13.3, 2.14.0, 2.14.1
  • Si tu VPS usa Apache
  • Tenés que verificar que tenga instalada la ultima versión estable 2.16.0
  • Que de forma predeterminada se instala en la gran mayoría de paneles de control
  • Paneles como RunCloud, Spinup, Hestia, Plesk, CloudPages, CyberPanel, ServerAvatar
  • No tienen peligro
  • Porque algunos no usan Apache sino OLS
  • Otros si instalan Apache pero no la librería Log4j
  • Que alivio verdad…
  • Dentro del log de Apache en tu servidor
  • Podés ir a buscar algunas peticiones con la palabra jndi para que veas como esta la situación
  • Cloudflare automáticamente mitiga estos intentos de ataque
  • Y si usas un firewall ya debió recibir reglas para monitorizar y bloquear los intentos de explotar esta vulnerabilidad

Se ha lanzado un parche para hacer frente a la situación y en la última versión 2.16.0 se deshabilita la funcionalidad JNDI por completo de forma predeterminada y elimina las búsquedas de mensajes. Por lo que basta con actualizar para estar fuera de peligro.
¿Ven la importancia de las actualizaciones? Claro que sí.

Si querés ponerte en contacto conmigo, podes escribirme en mi Formulario de contacto aquí en la web 😉

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *