El pasado 9 de diciembre, Apache Systems reveló públicamente una vulnerabilidad de alta gravedad (rastreada como CVE-2021-44228, apodada “Log4Shell”) que afecta a múltiples versiones de la utilidad Apache Log4j 2. Esta vulnerabilidad, que afecta a las versiones 2.0 a 2.14.1 de Apache Log4j 2, permite la ejecución remota de código (RCE) no autenticado. La utilidad Apache Log4j 2, que es una biblioteca de registro de Java de código abierto desarrollada por la Fundación Apache, se usa ampliamente en muchos de los servicios de Internet más populares del mundo, incluidos gigantes tecnológicos como Amazon, Apple, Twitter, Cloudflare, Steam y Minecraft.
Cuando nos enteramos de Log4Shell, Paybook implementó el proceso de día cero en todos los sistemas y productos para detectar cualquier exposición a esta vulnerabilidad y tomar las medidas de mitigación necesarias. Nuestro equipo descubrió que, si bien Paybook tiene algunos sistemas Apache que usan Java, ninguna de nuestras líneas de productos se ve afectada por Log4Shell porque nuestra base de código no contiene ninguna de las bibliotecas log4j afectadas. Los controles en nuestros sistemas internos también evitan el acceso a Internet saliente, lo que le da a Paybook otra capa de protección. Nuestro equipo concluyó que ninguno de nuestros servicios se ve afectado por Log4Shell. Continuaremos monitoreando la situación en busca de actualizaciones y notificaremos de inmediato a nuestros clientes y socios de cualquier cambio a esta conclusión.
Recomendamos encarecidamente a cualquier empresa que utilice software basado en Java que determine de inmediato si está utilizando alguna de las bibliotecas log4j afectadas. Para las empresas afectadas, recomendamos lo siguiente:
- Buscar estos hashes de Log4Shell en su inventario de software.
- Tomar en cuenta que los archivos JAR que pertenecen a la biblioteca log4j con el patrón “log4j-core – *. Jar” pueden indicar que una aplicación es potencialmente susceptible a CVE-2021-44228.
- Supervisar de cerca las aplicaciones afectadas para detectar comportamientos anómalos.
- La página de vulnerabilidades de seguridad log4j de Apache recomienda que las organizaciones actualicen a Log4j 2.15.0 lo antes posible. Para aquellos que no pueden actualizar a 2.15.0, Apache también ofrece opciones de mitigación alternativas.