El 10 de desembre es va fer pública una vulnerabilitat que afecta la llibreria de registre de Java Apache ‘Log4j 2’, eina desenvolupada per Apache Foundation que ajuda els desenvolupadors de programari a escriure missatges de registre el propòsit del qual és deixar constància d’una determinada transacció en temps dexecució. A més, Log4j permet filtrar els missatges en funció de la importància.
‘Log4j 2’ és un sistema de registre molt comú utilitzat pels desenvolupadors d’aplicacions web i servidors basades en Java i altres llenguatges de programació. En conseqüència la vulnerabilitat afecta una àmplia gamma de serveis i aplicacions, incloent-hi aplicacions empresarials i serveis al núvol.
El perill que suscita aquesta vulnerabilitat és que un atacant pot explotar-la enviant un codi maliciós que acabarà sent registrat per Log4j i donarà accés a l’atacant al sistema, que podrà executar codi remotament.
Accions
El CCN-CERT va emetre el mateix dia 10 de desembre una alerta amb indicador de nivell de perillositat crític, després de conèixer-se la vulnerabilitat en ser reportada per un enginyer de ciberseguretat a github el 9 de desembre, amb diverses onades de recomanacions el 10 i el 13 de desembre.
Per prendre les mesures de verificació, contenció i erradicació que es considerin adients, l’Agència de Ciberseguretat de Catalunya oferix una sèrie de recomanacions que es troben recollides al butlletí de ciberseguretat “Vulnerabilitats Log4J”.
La SGAD, en relació amb els seus propis sistemes, ha identificat sistemes i aplicacions afectades i a adoptar mesures de mitigació prioritzades actualitzacions i ajustaments de configuracions. La SGAD s’ha dirigit als contactes COCS-CDTIC cridant a l’aplicació de les recomanacions indicades per CCN-CERT per mitigar la vulnerabilitat i perquè s’informi la SGAD de les accions empreses.
