Más del 30% de aplicaciones en peligro con versiones vulnerables de Log4j
Un alarmante 38% de las aplicaciones que utilizan la librería Apache Log4j emplean las versiones susceptibles a vulnerabilidades de seguridad. Una de ellas es una vulnerabilidad crítica, Log4Shell (CVE-2021-44228), para la que existen parches desde hace más de dos años.
Log4Shell es una falla de ejecución remota de código (RCE) no autenticada que permite a los actores de amenazas obtener el control completo de los sistemas que ejecutan las versiones 2.0-beta9 y hasta la 2.15.0 de Log4j. Esta vulnerabilidad se identificó como un exploit de día cero en diciembre de 2021 y desde entonces se ha explotado activamente, lo que pone de relieve la urgencia de aplicar parches de inmediato debido a su impacto generalizado.
Informe sobre aplicaciones Log4j de Veracode
En un análisis detallado, Veracode examinó 38.278 aplicaciones de 3.886 empresas entre el 15 de agosto y el 15 de noviembre. Sorprendentemente, los resultados mostraron que alrededor del 38% de estas aplicaciones seguían utilizando versiones de Log4j sin parchear, dejando una parte sustancial del panorama digital a las amenazas potenciales. De ellos, el 2,8% utiliza versiones de Log4J susceptibles a Log4Shell.
Uno de los problemas típicos con los que se encuentran los desarrolladores es la persistencia de versiones de bibliotecas obsoletas. Un sorprendente 79% de los desarrolladores decide no actualizar las bibliotecas de terceros una vez incorporadas a la base de código por temor a que su funcionalidad se vea afectada. Sorprendentemente, el 65% de las actualizaciones de bibliotecas de código abierto incluyen pequeños ajustes y correcciones que probablemente no interfieran con la funcionalidad, lo que pone de manifiesto una oportunidad perdida de mejorar la seguridad.
Impacto limitado de Log4Shell en las prácticas
El sector de la seguridad podría haber esperado que el descubrimiento de Log4Shell sirviera de llamada de atención, pero no parece haberlo hecho. El hecho de que Log4j, bien conocido por sus vulnerabilidades, siga siendo un riesgo en 1 de cada 5 casos demuestra que la urgencia de Log4Shell no se ha traducido en el esperado cambio de paradigma en las prácticas de seguridad.
Estas conclusiones dejan muy claro a las organizaciones lo que deben hacer: una evaluación exhaustiva de su entorno para identificar las versiones de las bibliotecas de código abierto. El siguiente paso es crear un plan de actualización de emergencia, que garantice la rápida aplicación de actualizaciones y parches para eliminar vulnerabilidades y reforzar las defensas frente a cualquier ataque.
Conclusión
A medida que las vulnerabilidades de Log4j siguen perdurando en el ecosistema digital, las organizaciones deben reconocer la amenaza persistente que supone y tomar medidas proactivas para proteger sus aplicaciones. Al mantenerse alerta, implementar actualizaciones oportunas y adoptar una postura de seguridad proactiva, las empresas pueden navegar por el complejo panorama de la ciberseguridad con confianza, mitigando los riesgos asociados con Log4Shell y otras vulnerabilidades similares.
Las fuentes de este artículo incluyen un artículo de BleepingComputer.