Después de que se descubrió una vulnerabilidad de seguridad grave alrededor de Log4J, e incluso después de que lanzó actualizaciones con otros problemas, ahora ha surgido otra vulnerabilidad que puede ser tan grave como usar este componente de Java.
compañía de seguridad Flores Afirma haber descubierto otra forma de ataque en Log4J que puede usarse para aprovechar aún más la vulnerabilidad. Según los investigadores, el ataque se aprovecha de Javascript WebSocket y puede explotarse simplemente accediendo a un sitio web.
Peor aún, este tipo de ataque es difícil de identificar y puede pasar desapercibido para los administradores del sistema objetivo.
Esta nueva forma de ataque amplía el formato original en el que Log4Shell podía ejecutar. Por lo general, Log4Shell solo se puede explotar cuando Log4J está disponible públicamente en línea. Sin embargo, con esta nueva forma de ataque, el exploit puede ocurrir incluso cuando el sistema está configurado para «localhost» (acceso local), sin ningún acceso externo.
WebSockets es una característica simple pero poderosa que se encuentra en muchos navegadores actuales y se puede usar para enviar información rápidamente hacia y desde los servidores donde se encuentran las aplicaciones web. Muchas aplicaciones web lo utilizan para enviar información rápidamente sin que los usuarios tengan que volver a cargar páginas u otras actividades, por ejemplo, en las ventanas de chat.
Dada esta nueva forma de ataque, es posible explotar WebSockets para activar la vulnerabilidad Log4J en sistemas que de otro modo serían inaccesibles. Esto se aplica a los sistemas a los que solo se puede acceder localmente.
Esto significa que mientras Log4J sea vulnerable en los sistemas finales, puede ser explotado para ataques, ya sea que esté disponible públicamente o no.
Vale la pena señalar que desde que se conoció la falla de Log4Shell, Internet ha sido blanco de ataques masivos que intentan aprovecharla. La gran mayoría de los ataques actuales parecen estar directamente relacionados con el ransomware y el robo de información.
Como de costumbre, actualizar Log4J a la última versión disponible sería la opción recomendada, así como los sistemas de monitoreo para posibles ataques.
