La Junta de Revisión de Seguridad Cibernética (CSRB), la junta de revisión de seguridad cibernética adscrita al Departamento de Seguridad Nacional de EE. UU., reveló en un informe publicó el 14 de julio de 2022 que, a pesar de los esfuerzos de los especialistas en ciberseguridad, Log4j se ha convertido en un “ vulnerabilidad endémica «. Esto significa que podría ser utilizado por piratas informáticos durante los próximos diez años para infiltrarse en sistemas y redes informáticas.
La falla Log4j, una vulnerabilidad que afecta a muchos software y sistemas de información
Descubierto en noviembre de 2021, “ Log4Shell o la falla Log4j, impacta la biblioteca de registro de Apache del mismo nombre, utilizada por el lenguaje de programación Java. En el momento de su descubrimiento, muchas aplicaciones, servicios web y sistemas de información utilizaban esta biblioteca. Esta vulnerabilidad permite usar Log4j para ejecutar código no autorizado en un servidor que usa la biblioteca.
¿Qué estrategia para proteger los datos de salud de los ciudadanos europeos?
Los expertos en ciberseguridad lanzaron rápidamente un parche para cerrar esta falla de seguridad. Desafortunadamente, las organizaciones no se dieron cuenta del peligro de Log4Shell con la suficiente rapidez e ignoraron durante varias semanas, incluso varios meses, las actualizaciones propuestas para corregir la falla. Tenga en cuenta que, según el desarrollador de Log4Shell, la biblioteca ha sido descargada varios millones de veces por desarrolladores, empresas, administraciones y organizaciones de todo tipo.
Dada esta popularidad y la facilidad con la que se puede explotar la falla de Log4j, la administración de Biden consideró que la vulnerabilidad era una de las más graves jamás conocidas. Sin embargo, en el informe propuesto por la CSRB no hay evidencia que confirme que se haya llevado a cabo un ataque sustancial utilizando Log4j contra infraestructuras consideradas críticas. Hasta el momento, solo se han atacado sistemas y redes considerados menos importantes.
Entre mayo de 2021 y febrero de 2022, 6 estados americanos habían sido víctimas de un grupo de hackers chinos. Dos de ellos habrían explotado la falla de Log4j.
La CSRB estima que pasará una década antes de que todas las organizaciones hayan cerrado la brecha.
En su informe, el consejo de seguridad considera que Log4j es una vulnerabilidad endémica, lo que indica que persiste un riesgo significativo. Las organizaciones que ejecutan versiones anteriores de Log4j seguirán siendo vulnerables hasta que actualicen sus sistemas. Un proceso que debería llevar varios años, incluso una década.
El caso Log4j es el primero por el que se ha reunido la CSRB. Este comité estadounidense se creó a principios de 2022 para examinar cualquier evento considerado importante en términos de ciberseguridad, como la falla Log4J.
» Nunca antes los líderes de seguridad cibernética en la industria y el gobierno se habían reunido de esta manera para revisar incidentes graves, identificar qué sucedió y asesorar a la comunidad en general sobre cómo podemos hacerlo mejor en el futuro. dijo Rob Silvers, alto funcionario del Departamento de Seguridad Nacional de EE. UU. y presidente de la CSRB.