El 9 de diciembre de 2021, investigadores de seguridad anunciaron una vulnerabilidad de día cero, CVE-2021-44228, que afecta a la biblioteca de registro basada en Java Apache Log4j, ampliamente utilizada. Conocida como Log4Shell, la vulnerabilidad puede permitir la ejecución remota de código no autenticado y el acceso a servidores, lo que en la práctica supone una toma de control total de los sistemas vulnerables.
Log4j se utiliza en muchas plataformas en la nube, aplicaciones web y servicios de correo electrónico, lo que significa que hay una amplia gama de sistemas que podrían estar en riesgo debido a esta vulnerabilidad. GitHub ha publicado una lista de aplicaciones y sistemas vulnerables, y los investigadores de seguridad informan de que los ciberatacantes ya están realizando cientos de miles de intentos por minuto para explotar la vulnerabilidad.
Dado que se utiliza en millones de aplicaciones web basadas en Java en todo el mundo, es importante que las organizaciones determinen no solo su superficie de ataque interna, sino también el riesgo al que se enfrentan por parte de terceros vulnerables.
8 preguntas para determinar de inmediato su exposición a Log4Shell por parte de terceros
Prevalent ha elaborado una evaluación de 8 preguntas que puede utilizarse para identificar rápidamente cualquier impacto potencial en su negocio, determinando cuáles de sus terceros utilizan Log4j en sus aplicaciones y cuáles son sus planes de mitigación.
| Preguntas | Respuestas posibles |
|---|---|
| 1) ¿Ha identificado la organización si se ve afectada por la reciente vulnerabilidad de ejecución remota de código (RCE) de Apache en su programa utilitario Log4j?
Texto de ayuda: Esta pregunta se refiere a la reciente vulnerabilidad de ejecución remota de código (RCE) (CVE-2021-44228) que afecta al programa de utilidad Apache Log4j, en las versiones 2.0-beta9 a 2.14.1. |
Seleccione UNA de las siguientes opciones:
a) La organización ha revisado e identificado que se ve afectada por la reciente vulnerabilidad de ejecución remota de código de Apache. b) La organización ha revisado e identificado que no se ve afectada por la reciente vulnerabilidad de ejecución remota de código de Apache. |
| 2) ¿Ha logrado la organización actualizar a Log4j 2.15.0 tal y como se recomienda? | Seleccione UNA de las siguientes opciones:
a) Sí, la organización ha logrado actualizar el programa a la última versión 2.15.0. b) La organización no puede actualizar a la última versión de Log4j. c) La organización aún no ha actualizado el programa a la última versión 2.15.0. |
| 3) ¿Qué versión del programa Log4j utiliza actualmente la organización? | Seleccione UNA de las siguientes opciones:
a) The organization uses a release >=2.7 and <=2.14.1 b) The organization uses a release >=2.0-beta9 and <=2.10.0 (proceed to question 5) |
| 4) If your current release of Apache Log4j is *>=2.7 and <=2.14.1*, and your organization has not updated to the latest version, then have the following actions been taken?
Texto de ayuda: Apache ha publicado estas medidas recomendadas para solucionar la vulnerabilidad RCE. Las medidas recomendadas dependen de la versión que se esté usando. |
Seleccione TODAS las opciones que correspondan:
a) Para mitigar el problema, la organización ha establecido la propiedad del sistema log4j2.formatMsgNoLookups o la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS en true. b) Todos los patrones PatternLayout se han modificado para especificar el convertidor de mensajes como %m{nolookups} en lugar de solo %m. |
| 5) If your current release of Apache Log4j is *>=2.0-beta9 and <=2.10.0*, and your organization has not updated to the latest version, then have the following actions been taken?
Texto de ayuda: Apache ha publicado estas medidas recomendadas para solucionar la vulnerabilidad RCE. Las medidas recomendadas dependen de la versión que se esté usando. |
Seleccione TODAS las opciones que correspondan:
a) Para mitigar el problema, la organización ha establecido la propiedad del sistema log4j2.formatMsgNoLookups o la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS en true. b) Se ha eliminado la clase JndiLookup de la ruta de clases: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class. |
| 6) ¿Ha afectado el ciberataque a aplicaciones críticas suministradas o utilizadas para prestar servicios a los clientes?
Texto de ayuda: Se debe tener en cuenta si los sistemas de los clientes, o aquellos que contienen información de los clientes, utilizan el programa de utilidad Log4j. |
Seleccione UNA de las siguientes opciones:
a) Sí, la vulnerabilidad ha afectado a aplicaciones entregadas o utilizadas para dar soporte a servicios de clientes. b) No, la vulnerabilidad no ha afectado a las aplicaciones entregadas o utilizadas para dar soporte a los servicios al cliente. |
| 7) ¿Cuenta la organización con un plan de investigación y respuesta ante incidentes?
Texto de ayuda: Deben establecerse procedimientos para supervisar, detectar, analizar y notificar los eventos e incidentes relacionados con la seguridad de la información, que permitan a la organización desarrollar una estrategia de respuesta clara para gestionar los incidentes y eventos identificados. |
Seleccione TODAS las opciones que correspondan:
a) La organización cuenta con una política documentada de gestión de incidentes. b) La política de gestión de incidentes incluye normas para informar sobre eventos y vulnerabilidades relacionados con la seguridad de la información. c) Se desarrolla un plan de respuesta ante incidentes como parte de la investigación y recuperación de incidentes. d) La planificación de la respuesta ante incidentes incluye procedimientos de escalamiento a partes internas y procedimientos de comunicación con los clientes. |
| 8) ¿Quién es la persona de contacto designada para responder a preguntas adicionales? | Indique la persona de contacto clave para la gestión de la información y los incidentes de ciberseguridad.
Nombre: Título: Correo electrónico: Teléfono: |
5 prácticas recomendadas para acelerar la respuesta ante incidentes de terceros
Prevalent recomienda un enfoque integral de gestión de riesgos de terceros en cinco pasos para determinar de forma más proactiva la exposición futura a vulnerabilidades de terceros.
1. Inventario de tecnología de terceros
El primer paso para descubrir su exposición a una vulnerabilidad de terceros es determinar qué proveedores utilizan qué tecnologías. Ya sea que se determine de forma pasiva mediante un escaneo externo o de forma activa a través de una evaluación interna dedicada, los resultados deberían permitir a su organización crear automáticamente mapas de relaciones entre entidades por tecnología de cuarta parte. Con esta capacidad, puede visualizar más claramente el riesgo de concentración tecnológica entre sus terceros e identificar rápidamente qué proveedores podrían estar en riesgo en un incidente de seguridad como Log4Shell.
2. Emitir evaluaciones específicas a terceros vulnerables.
El siguiente paso es enviar un cuestionario específico de evaluación de riesgos a terceros potencialmente vulnerables. Sin embargo, debido a la complejidad de la mayoría de los incidentes de seguridad y a la rapidez con la que hay que responder, lo último que querrá es utilizar una hoja de cálculo para recopilar esta información.
En su lugar, aproveche una plataforma que automatiza la recopilación de respuestas de terceros a un cuestionario estándar, centraliza los resultados en un único registro de riesgos y proporciona informes fáciles de leer que muestran qué proveedores son vulnerables y el estado de sus planes de corrección.
3. Validar los resultados de la evaluación con un escaneo externo.
Teniendo en cuenta la gravedad de la vulnerabilidad Log4Shell y las consecuencias que podría tener una posible interrupción del negocio para sus proveedores, es esencial validar los resultados de la evaluación de riesgos comparando las respuestas de los proveedores con los riesgos observables externamente, como la posible presencia de malware en la infraestructura informática de la empresa de un proveedor, o las configuraciones erróneas expuestas al público y otras vulnerabilidades web. Esto se puede lograr correlacionando los resultados de la evaluación con los resultados del escaneo cibernético en un único registro de riesgos que añada contexto a los resultados. La alternativa es un escaneo manual de las bases de datos de vulnerabilidades, lo que requiere mucho trabajo, ¡y usted no tiene tiempo para eso!
4. Remediar e informar
Una vez que haya recopilado, analizado y correlacionado las respuestas de la evaluación de proveedores, clasifique los resultados para centrarse en aquellos proveedores que tengan un impacto de mayor prioridad para su organización. Las mejores soluciones de gestión de riesgos de terceros ofrecerán una clasificación de proveedores para comprender mejor cuál es el más crítico; orientación integrada para la corrección de proveedores; y plantillas de informes específicas para el marco normativo y de seguridad, con el fin de simplificar las inevitables solicitudes de los auditores.
5. Supervisar continuamente los incidentes de seguridad.
Mantenga un flujo continuo de noticias y actualizaciones sobre incidentes de seguridad. Busque una solución automatizada para lograrlo, ya que limitarse a consultar los canales RSS de los proveedores o los sitios web de noticias nunca le proporcionará la profundidad ni el contexto necesarios para responder de forma más proactiva. Las buenas soluciones de supervisión de violaciones de datos incluyen los tipos y cantidades de datos robados, las cuestiones de cumplimiento y normativas, y las notificaciones en tiempo real de violaciones de datos de los proveedores.
Prevalent puede ayudar a acelerar la respuesta ante incidentes de terceros
El servicio de respuesta a incidentes de terceros de Prevalent es una solución que ayuda a identificar y mitigar rápidamente el impacto de incidentes de seguridad de terceros, como Log4Shell, proporcionando una plataforma para gestionar de forma centralizada a los proveedores, realizar evaluaciones específicas de eventos concretos, puntuar los riesgos identificados y acceder a directrices de corrección. Prevalent ofrece esta solución como un servicio gestionado para que su equipo pueda delegar la recopilación de datos críticos de respuesta y centrarse en la corrección de riesgos y la aceleración de la respuesta para mitigar posibles interrupciones.
Próximos pasos para abordar la vulnerabilidad de Log4j
Utilice este cuestionario para determinar el impacto que la vulnerabilidad Log4Shell podría tener en su ecosistema de proveedores. A continuación, obtenga más información sobre cómo Prevalent puede ayudarle descargando un informe técnico sobre las mejores prácticas o póngase en contacto con nosotros para solicitar una demostración.
Aviso para los clientes de Prevalent: Estamos actualizando la plataforma Prevalent para incluir el cuestionario anterior. El equipo de ciberseguridad de Prevalent ha iniciado una revisión interna de los sistemas, aplicaciones y proveedores durante el fin de semana para evaluar las posibles vulnerabilidades y realizar un seguimiento de las medidas de mitigación y corrección. Proporcionaremos detalles y avisos a nuestros clientes a medida que avance la investigación. Visite nuestro portal de atención al cliente o póngase en contacto con su gestor de éxito del cliente para obtener más detalles.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
