La vulnerabilidad Log4j (CVE-2021-44228) continúa presentando una gran amenaza para las organizaciones un año después de que la Apache Software Foundation la hiciera pública. Si bien la cantidad de ataques que se han publicado en estos doce meses dirigidos al fallo ha sido menor de lo que muchos esperaban, el 72% de las organizaciones siguen estando expuestas.
Según los datos que maneja Tenable a partir de más de 500 millones de pruebas, el 72% de las organizaciones sigue siendo vulnerable a Log4Shell, como comúnmente se conoce a esta vulnerabilidad crítica. Otros hallazgos clave de los datos incluyen:
- El 28% de las organizaciones de todo el mundo han remediado Log4Shell por completo a partir del 1 de octubre de 2022, una mejora de 14 puntos desde mayo de 2022.
- El 53% de las organizaciones eran vulnerables a Log4j durante el período de tiempo del estudio, lo que subraya la naturaleza omnipresente de Log4j y los esfuerzos continuos necesarios para remediar, incluso si previamente se logró la remediación completa.
- A partir de octubre de 2022, el 29% de los activos vulnerables vio la reintroducción de Log4Shell después de lograr la remediación completa.
- Algunas industrias están en mejor forma que otras, con la ingeniería (45%), los servicios legales (38%), los servicios financieros (35 %), las organizaciones sin fines de lucro (33%) y el gobierno (30 %) a la cabeza con la mayoría de las organizaciones totalmente remediado. Aproximadamente el 28% de las organizaciones de infraestructura crítica definidas por CISA se han remediado por completo.
- Casi un tercio de las organizaciones de América del Norte han remediado completamente Log4j (28%), seguidas de Europa, Medio Oriente y África (27%), Asia-Pacífico (25%) y América Latina (21%).
- De manera similar, América del Norte es la región superior con el porcentaje de organizaciones que han remediado parcialmente (90%), Europa, Medio Oriente y África (85%), Asia-Pacífico (85%) y América Latina (81%).
Un alto porcentaje de sistemas sigue aún sin parches contra esta brecha, por lo que las organizaciones deben afrontar importantes desafíos. El hecho de que la biblioteca de código abierto Log4j se utilice en casi el 64% de las aplicaciones Java, y solo la mitad de ellas se haya actualizado a una versión completamente reparada, significa que los atacantes seguirán intentándolo.
Desde la aparición de Log4Shell en diciembre de 2021, los investigadores de seguridad la han considerado como una de las vulnerabilidades más importantes de los últimos años debido a su prevalencia y la relativa facilidad con la que los atacantes pueden explotarla.
En las semanas posteriores a su descubrimiento, las organizaciones reasignaron recursos e invirtieron decenas de miles de horas en esfuerzos de identificación y solución. Un departamento federal informó que su equipo de seguridad dedicó 33.000 horas solo a la respuesta de vulnerabilidad de Log4j.
Según los datos de la telemetría de Tenable, uno de cada diez activos era vulnerable a Log4Shell en diciembre del pasado año. Servidores, aplicaciones web, contenedores y dispositivos IoT estaban ampliamente expuesto a esta brecha. Un año después, los datos muestran una mejora, con un 2,5% de los activos vulnerables, si bien el 29% de estos activos tuvo repeticiones de Log4Shell después de que se remediara completamente.
Según apunta el director de seguridad de la compañía, Bob Huber, conseguir remediar una brecha así completamente es muy difícil para una vulnerabilidad tan generalizada ya que no se trata de un proceso único. “Si bien una organización puede haber solucionado el problema por completo en algún momento, y ha agregado nuevos activos a sus entornos, es probable que se encuentre con Log4Shell una y otra vez”, destaca Huber.
Por tanto, los expertos destacan que erradicar Log4Shell es una batalla continua que requiere que las organizaciones evalúen continuamente sus entornos en busca de fallos, así como otras vulnerabilidades.
Alrededor del 28% de las organizaciones de todo el mundo han solventado completamente Log4Shell. Además, el 53% de las organizaciones han sido vulnerables a Log4j durante el último año, lo que subraya la naturaleza omnipresente de esta brecha y la necesidad de realizar esfuerzos continuos para solventarlo, incluso si ya se solucionó previamente.
No en vano, a partir del pasado mes de octubre, 29% de los activos vulnerables vio la reintroducción de Log4Shell después de conseguir solucionarlo completamente. Algunas industrias lo están resolviendo mejor que otras, como la ingeniería, los servicios legales y financieros, las ONG y el gobierno, que están a la cabeza en lo que a la resolución completa de este problema se refiere.
Estos datos evidencias que Log4Shell es un riesgo de seguridad endémico con el que las organizaciones deberán lidiar algunos años más. Aunque hayan conseguido solventarlo completamente, las instancias vulnerables de Log4j permanecerán en los sistemas durante muchos años y llevará a que las organizaciones estén en riesgo de sufrir ataques en el futuro.
Fuente: https://blog.segu-info.com.ar/2022/12/72-de-las-organizaciones-siguen-siendo.html