Cómo utilizar Log4j Detect para escanear tus proyectos Java y protegerlos de vulnerabilidades
Una de las grandes ventajas de Linux y la comunidad de código abierto es que, tan pronto como se detecta una vulnerabilidad, los desarrolladores se esfuerzan por lanzar herramientas para mitigar el problema. Este es el caso de la vulnerabilidad Log4j.
Este problema en particular es bastante grave, ya que afecta a tantos servidores y proyectos. Así es cómo funciona la vulnerabilidad Log4j:
- Log4j2 admite una función de registro llamada Sustitución de Búsqueda de Mensajes, que permite reemplazar cadenas especiales, durante el momento de registro, por otras cadenas generadas dinámicamente.
- Uno de los métodos de búsqueda (JNDI emparejado con LDAP) busca una clase especial de una fuente remota para deserializarla, lo que ejecuta parte del código de la clase.
- Un atacante remoto puede controlar cualquier parte de la cadena registrada.
Parte del problema es que Log4j está tan arraigado en proyectos Java y en dependencias que son utilizadas por muchas herramientas. Por lo tanto, encontrar cada vulnerabilidad en tu servidor puede ser complicado.
Afortunadamente, se han realizado muchos esfuerzos para ayudar a detectar estos problemas. Uno de esos esfuerzos es Log4j Detect, que escaneará tus proyectos de desarrollo para asegurarse de que estén libres de vulnerabilidades.
Te mostraré cómo utilizar el script Log4j Detect para escanear tus proyectos Java.
Lo que necesitarás
Para trabajar con este script, necesitarás un proyecto Java y un usuario con privilegios de sudo. Eso es todo. Manos a la obra. Este script se puede usar en Linux, macOS y Windows. Voy a demostrar en Linux (a través de Ubuntu Server 20.04).
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelCómo descargar e instalar Log4j Detect
Lo primero que se debe hacer es la instalación de Log4j Detect. Para ello, inicia sesión en tu servidor Linux y descarga el script configurando primero tu arquitectura de sistema como una variable de entorno con:
ARCH=amd64
Si tu arquitectura es ARM, ese comando sería:
ARCH=arm64
A continuación, descarga el script con:
wget "https://github.com/whitesource/log4j-detect-distribution/releases/latest/download/log4j-detect-1.3.0-darwin-$ARCH.tar.gz"
Descomprime el archivo con:
tar -xzvf log4j-detect-1.3.0-darwin-$ARCH.tar.gz
Asigna los permisos adecuados al archivo con:
chmod +x log4j-detect
Mueve el archivo a /usr/local/bin con:
sudo mv log4j-detect /usr/local/bin/
Cómo escanear tu proyecto con Log4j-detect
Ahora que la instalación está completa, vamos a escanear un proyecto en busca de vulnerabilidades de Log4j. Supongamos que tu proyecto se encuentra en un directorio llamado JAVAWeb-Project. Ingresa a ese directorio y ejecuta el siguiente comando:
log4j-detect scan
Dependiendo del tamaño de tu proyecto, el escaneo no debería llevar mucho tiempo en completarse. Una vez finalizado, mostrará si hay algún problema (Figura A).
Figura A
Como puedes ver, el proyecto Java que probé tiene problemas de Log4j que deben solucionarse. El script indicará los problemas y cómo remediarlos. Una vez que hayas solucionado todo, vuelve a ejecutar el script para verificar que ya no se detecten las vulnerabilidades.
Deberías considerar esto como algo obligatorio para todos tus proyectos y servidores que puedan ser vulnerables a Log4j (incluso aquellos que creas que están seguros). Este es uno de esos casos en los que es mejor prevenir que lamentar.
Protege tus contraseñas con PAM: Tu aliado para la seguridadSuscríbete al canal de YouTube How To Make Tech Work de Newsmatic para obtener los últimos consejos tecnológicos para profesionales de negocios de Jack Wallen.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo utilizar Log4j Detect para escanear tus proyectos Java y protegerlos de vulnerabilidades , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados