Fallo en Log4j: el inmenso trabajo de inventario de los sistemas afectados

Después de anunciar el descubrimiento de la falla en la biblioteca de registro Log4j, DSI y RSSI deben identificar rápidamente los sistemas y servicios vulnerables. Trabajo a largo plazo, que hizo que Guillaume Poupard, director general de Anssi, dijera que "los expertos en ciberseguridad de las empresas se están preparando para las complicadas celebraciones de fin de año". Para ayudarlos, los fabricantes, editores y proveedores se comunicaron sobre las ofertas y los productos afectados por la falla de Log4Shell. Una lista no exhaustiva para mostrar el impacto de la vulnerabilidad y las dificultades para corregir todos los sistemas afectados.

Los principales actores de TI en acción

Comencemos con los grandes jugadores de TI. Amazon Web Services ha actualizado varios de sus servicios, incluidos OpenSearch, AWS Glue, S3, CloudFront, AWS Greengrass y API Gateway. La empresa actualiza todos los servicios afectados en esta página y la lista crece rápidamente. La parte de la nube también está dirigida a Microsoft, que alerta sobre los servicios de Azure como Functions (sin servidor). IBM está centrando su atención en los servidores de aplicaciones WebSphere (versiones 8.5 y 9.0). Oracle tiene una comunicación bastante elíptica al publicar el 10 de diciembre un boletín de alerta que indica que "varios componentes" están afectados pero sin dar detalles. Incluso su tono críptico del lado de Google Cloud que destaca en un blog sus soluciones de seguridad (Armor, IDS,…) para detectar la falla sin especificar los servicios afectados.

Por otro lado, la lista es larga para VMware que ve vCenter, Horizon, vRealize, Tanzu, CarbonBlack directamente afectados. Adobe aclaró que ColdFusion estaba preocupado y publicó un boletín de seguridad el 14 de diciembre, así como un método para evitar la falla. Broadcom (propietario de CA Technologies y Symantec) anunció varios boletines de seguridad sobre las ofertas de Layer7 de administración de API y las soluciones de seguridad de Symantec. También podemos mencionar a Splunk que conecta varios servicios (connect para Kafka, complementos para Jboss o Tomcat, Enterprise Docker Container). Intel tampoco es inmune con las soluciones expuestas (Audio Development Kit, Datacenter Manager, etc.).

Mundo de la red y entornos Linux afectados

Los especialistas en redes también están contraatacando. Cisco lanzó una cascada de alertas de seguridad el 14 de diciembre. Se refieren a enrutadores y conmutadores destinados a grandes empresas y pequeñas y medianas empresas, software de gestión de redes, pero también terminales de comunicación y servidores Webex. Aún en la parte de la red, Juniper Networks realiza un inventario de los productos afectados, en particular la oferta de Paragon (Insights, Pathfinder, Planner). Además, el inventario es grande para HPE, que ve las ofertas de Aruba, pero también los arreglos de almacenamiento 3Par Storeserv y los conmutadores Brocade en crisis.

La distribución Debian Linux ha incorporado la actualización de Log4j en varias versiones: Debian 9 (Stretch), 10 (Buster), 11 (Bullseye) y 12 (Bookworm). Por su parte, Red Hat cree que la falla afecta a ciertas versiones de OpenShift (4 y 3.11) así como a RHEL. Aún en Linux, Ubuntu corrige varias versiones (21.10, 21.04, 20.04, 18.04). Con respecto a Docker, una docena de imágenes oficiales son vulnerables y una lista está disponible en esta página, así como los medios para eludir la violación.

Soluciones de seguridad que faltan

En esta lista (no exhaustiva), varios proveedores de soluciones de seguridad están preocupados. Entre ellos, la firma finlandesa F-Secure anunció que Policy Manager (solo el componente Policy Manager Server), Policy Manager Proxy, Endpoint Proxy, Messaging Security Gateway y Elements Connector fueron expuestos a CVE-2021-44228. Publica una guía paso a paso para corregirlo. El especialista en autenticación Okta está presionando a los clientes para que actualicen su agente para los servidores Radius y la versión local de MFA. Sophos, Trend Micro, Fortiguard, Eset o McAfee también han publicado alertas.

Tenga en cuenta que la mayoría de los editores, constructores y proveedores tuvieron que revisar sus boletines de seguridad, porque el parche inicial (Log4j versión 2.15) lanzado por la Fundación Apache estaba incompleto en ciertas configuraciones. Por tanto, el equipo encargado del mantenimiento de la biblioteca ha lanzado otra versión 2.16 más completa.