Log4j: Vulnerabilidad endémica clasificada por la Junta de Revisión de Ciberseguridad

La Junta de Revisión de Ciberseguridad (CSRB) ha catalogado recientemente la vulnerabilidad de seguridad Log4j como una "vulnerabilidad endémica" que persistirá durante años, según un informe publicado el 11 de julio de 2022. La vulnerabilidad fue descubierta en diciembre de 2021 y no requiere habilidades avanzadas en hacking para aprovechar la brecha en las medidas de seguridad.

"Estamos en un momento significativo en las industrias tecnológicas y de ciberseguridad, y los hallazgos de la CSRB señalan una dirección para el futuro", dijo Daniel Trauner, director senior de seguridad en Axonius. "En algún momento, veremos un uso aún más visible de los informes de Software Bill of Materials (SBOM). Así como la FDA espera que los consumidores puedan estar informados sobre lo que consumen a través de etiquetas de información nutricional estandarizadas con listas claras de ingredientes, las empresas y otras entidades que utilizan software desearán, y necesitarán en última instancia, transparencia sobre lo que se incluye en el software que utilizan".

Índice de Contenido
  1. Los hallazgos de la CSRB sobre Log4j
  2. Consejos para protegerse de la vulnerabilidad Log4j

Los hallazgos de la CSRB sobre Log4j

La vulnerabilidad de Log4j, también conocida como Log4Shell, es un framework de registro basado en Java de código abierto que recopila y gestiona información sobre la actividad del sistema. Además de ser fácil de usar, el archivo es gratuito y extremadamente efectivo. Este software también ha sido incrustado en miles de otros paquetes de software por desarrolladores de Java. La facilidad de uso ha llevado a algunos hackers a buscar explotar numerosos programas que aún no han sido corregidos como parte de Log4j.

El error fue descubierto y publicado como prueba de concepto por un ingeniero del equipo de seguridad en la nube de Alibaba. El problema se volvió serio el 9 de diciembre de 2021, después de que se hiciera pública la vulnerabilidad, ya que los investigadores de Cloudflare descubrieron que se estaban realizando 400 escaneos por segundo para intentar aprovecharse de sistemas comprometidos que utilizan el software. Desde entonces, los profesionales de la seguridad han hecho de alta prioridad mitigar el riesgo potencial que supone esta vulnerabilidad al estar fácilmente disponible para las masas.

Consejos para protegerse de la vulnerabilidad Log4j

Con el fin de prepararse para los efectos a largo plazo causados por esta vulnerabilidad, la CSRB recomienda a las organizaciones seguir los siguientes consejos:

  • Abordar los riesgos continuos de Log4j
  • Aplicar las mejores prácticas existentes para la higiene de la seguridad
  • Crear un ecosistema de software mejor
  • Invertir en el futuro

Al prepararse para abordar la vulnerabilidad de Log4j a largo plazo, las organizaciones pueden hacer un mejor trabajo de observación e informe de acciones a las autoridades adecuadas para fines de monitoreo. Esto permitirá que las agencias pertinentes recopilen los datos necesarios para abordar la explotación en tiempo real.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Aunque estos consejos adicionales serán útiles, otros expertos en ciberseguridad atribuyen la explotación simplemente a malas prácticas y hábitos de seguridad en las empresas. Comprender qué información y datos se están protegiendo podría llevar al desarrollo de mejores métodos de defensa cibernética en el futuro.

"El problema principal es que la mayoría de las organizaciones tienen malas prácticas de gestión de activos. En pocas palabras, si no sabes lo que tienes, no puedes protegerlo", dijo Matt Chiodi, director de confianza en Cerby. "La gestión de activos es extremadamente difícil, especialmente cuando se tienen en cuenta las aplicaciones en la nube. Cuando se trata de aplicaciones propias en la nube, rara vez los desarrolladores llevan un registro de los componentes de software que utilizan. Para las aplicaciones SaaS, debes confiar en que el proveedor conozca lo que ha desarrollado y qué componentes de software se utilizan. Todo esto se trata de la seguridad de la cadena de suministro del software, que está rota en la actualidad".

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Log4j: Vulnerabilidad endémica clasificada por la Junta de Revisión de Ciberseguridad , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.