Varios expertos en ciberseguridad han lanzado escáneres gratuitos para ayudar a las organizaciones a encontrar instancias de Log4j vulnerables.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), por ejemplo, lanzó un escáner Log4j en GitHub, basado en una versión anterior construida por la compañía de seguridad FullHunt.
CISA dijo que esta herramienta busca dos vulnerabilidades, CVE-2021-44228 y CVE-2021-45046, y es compatible con la devolución de llamada de DNS para el descubrimiento y la validación de vulnerabilidades. También proporciona detección automática de errores para parámetros de datos HTTP POST, así como parámetros de datos JSON.
Los expertos en ciberseguridad de Crowdstrike también han lanzado un escáner similar llamado CAST.
Los escáneres tienen fallas
Sin embargo, los investigadores advirtieron que ninguna de estas herramientas era perfecta y podrían terminar perdiendo una vulnerabilidad o dos.
Yotam Perkal, jefe de investigación de la firma de seguridad Rezilion, analizó estas herramientas y publicó los resultados en una publicación de blog. Según Perkal, muchos escáneres pasaron por alto ciertas versiones de la vulnerabilidad.
“El mayor desafío es detectar Log4Shell en software empaquetado en entornos de producción: los archivos Java (como Log4j) se pueden anidar en unas pocas capas dentro de otros archivos, lo que significa que una búsqueda superficial del archivo no lo encontrará”, Perkal escribió. "Además, se pueden empaquetar en muchos formatos diferentes, lo que crea un verdadero desafío para profundizar en otros paquetes de Java".
Perkal probó un total de nueve escáneres y, aunque algunos funcionaron mejor que otros, ninguno pudo identificar todas las implementaciones vulnerables de Log4j.
"También nos recuerda que las capacidades de detección son tan buenas como su método de detección. Los escáneres tienen puntos ciegos", concluyó Perkal. “Los funcionarios de seguridad no pueden asumir ciegamente que varias herramientas de código abierto o incluso de grado comercial podrán detectar todos los casos extremos. Y en el caso de Log4j, hay muchas instancias de borde en muchos lugares. "
Log4Shell
Log4j es un registrador de Java que recientemente se descubrió que contiene una falla crítica, que podría permitir a los actores malintencionados (incluso aquellos con muy pocas habilidades) ejecutar código arbitrario en millones de puntos finales y eliminarlos, malware, ransomware y criptomineros.
Investigaciones posteriores revelaron que Log4Shell, como se le conoce al defecto, es una de las vulnerabilidades de seguridad más graves de la historia reciente. Jen Easterly, directora de CISA, lo calificó como "uno de los más serios" que ha visto en toda su carrera, "si no el más serio".
Hasta ahora, Apache ha lanzado al menos tres correcciones para Log4j desde que se descubrió la vulnerabilidad, y se anima a los usuarios a actualizar de inmediato.
ผ่าน ZDNet