· Grupo Babel y BlueVoyant se unen para asegurar tu infraestructura.

· Grupo Babel cuenta con 20 años en el mercadeo

Log4j es como el asbesto: no sabrá dónde vive hasta que comience a remodelar su infraestructura. Y al igual que el asbesto, los efectos de Log4j pueden persistir durante muchos años a medida que las empresas descubren que dependen de la biblioteca de software relacionada o enfrentan amenazas similares en el futuro.

Log4j es una biblioteca de registro de Java de código abierto desarrollada bajo Apache Software Foundation. Muchos desarrolladores de software lo incluyeron como un paquete para ayudar con el registro de actividad de una aplicación o servicio en línea.

Lo más probable es que se encuentre en muchos de los dispositivos y servicios que usa todos los días. A fines de noviembre, un investigador de seguridad en la nube del gigante tecnológico chino Alibaba descubrió la falla del software, que podría permitir la ejecución remota de código y la divulgación de información, según el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido.

Sorprendentemente, la falla existía desde 2013.

Los impactos hasta ahora

En cuestión de días, se habían realizado miles de ataques mientras los equipos de seguridad se apresuraban a tapar los agujeros y lidiar con el impacto de los ataques oportunistas. Múltiples grupos de amenazas persistentes avanzadas, como algunos originarios de China, Irán, Corea del Norte y Turquía, así como grupos de ciberdelincuentes, fueron detectados apuntando a Log4j.

El desarrollador de videojuegos Minecraft anunció que “identificó una vulnerabilidad en forma de explotación dentro de Log4j… Esta explotación afecta a muchos servicios, incluido Minecraft: Java Edition”. La compañía dijo que el exploit podría representar un riesgo potencial de que las computadoras de los usuarios se vean comprometidas, pero que se solucionó con un parche reciente.

Minecraft estaba lejos de estar solo. Amazon necesitaba actualizar sus Amazon Web Services (AWS) , algunos productos de Cisco se vieron afectados y Nvidia necesitaba remediar algunos productos, entre otros impactos.

Ganar la atención de los gobiernos

Las empresas afectadas también enfrentaron la presión de las entidades gubernamentales.

La Comisión Federal de Comercio de EE. UU. (FTC) advirtió a las empresas que necesitaban remediar Log4j “para reducir la probabilidad de daños a los consumidores y evitar acciones legales de la FTC”.

El NCSC del Reino Unido aconsejó a las organizaciones que deben informar si se vieron comprometidas.

El enfoque BlueVoyant para Log4j

BlueVoyant proporciona una capacidad de protección contra riesgos cibernéticos de terceros de extremo a extremo que proporciona una enumeración de riesgos que da como resultado una verdadera defensa contra riesgos distribuidos. Utilizando datos externos, una gran parte de los cuales son propietarios, el equipo de gestión de riesgos cibernéticos de terceros de BlueVoyant identificó comunicaciones que indicaban la explotación adversaria de cualquier programa y servicio accesible desde Internet. Continuamos trabajando directamente con nuestros clientes al monitorear continuamente a sus terceros para garantizar que sus entornos no estén sujetos a amenazas provenientes de su cadena de suministro.

A medida que los proveedores de software revelaron y confirmaron la presencia de Log4j como una dependencia en sus aplicaciones, continuamos iterando en técnicas para usar nuestra telemetría a nivel de Internet para identificar aquellos servicios que pueden ser vulnerables. Muchas aplicaciones que tenían esta dependencia vulnerable requieren que se emita un comando malicioso para su confirmación; esto excede las prácticas de organizaciones defensivas comúnmente aceptadas, y simplemente identificamos posibles problemas en terceros monitoreados de nuestros clientes para permitir una comunicación y verificación abiertas.

BlueVoyant monitorea los indicadores de compromiso y cualquier actividad análoga en los puntos finales o dispositivos utilizados por los empleados, como computadoras portátiles, computadoras de escritorio y teléfonos inteligentes.

Protegiéndose

Para proteger a su empresa de cualquier amenaza Log4j, asegúrese de actualizar todas las aplicaciones y producciones que dependen de la biblioteca de software Log4j. Puede encontrar actualizaciones de Apache , CISA y de muchos proveedores de productos y software.

Si las plataformas o los productos de algún cliente son vulnerables, asegúrese de informarles e instarles a parchear sus sistemas.

Lecciones para el futuro

Nadie sabe si la vulnerabilidad en Log4j fue accidental o intencional, pero el paquete de software se utilizó con tanta frecuencia (a veces innecesariamente) que cuestiona cómo los desarrolladores siguen las prácticas de desarrollo de software seguro, especialmente en las comunidades de código abierto.

En el futuro, la industria necesita verificar mejor el software de código abierto utilizado en entornos de producción para evitar futuras vulnerabilidades. El conocimiento de las posibles vulnerabilidades en estas bibliotecas ha mejorado desde el problema Heartbleed de 2014, un error de seguridad en otra biblioteca de software popular, pero se necesita más trabajo.

Para las empresas, Log4j muestra la creciente necesidad de monitorear su ecosistema de terceros a medida que las empresas se conectan cada vez más. La investigación de BlueVoyant encontró que el 93% de las empresas han sufrido una brecha de seguridad cibernética debido a vulnerabilidades en sus proveedores externos. La investigación del Reino Unido fue mayor .

Conclusión

Los impactos completos de Log4j aún no se conocen. Se espera que se anuncien ataques e infracciones adicionales del uso de la biblioteca de software en los próximos meses. Y al igual que el asbesto, las implicaciones podrían ser duraderas.

BlueVoyant permanecerá alerta en el monitoreo de la explotación adversaria del exploit tanto en los puntos finales del cliente como en su ecosistema de terceros.

Redacción: Adam Bixler es el jefe global de gestión de riesgos cibernéticos de terceros de BlueVoyant