Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir

La falla en Apache Log4j coloca al software de terceros bajo los reflectores

Cómo la falla en Apache Log4j coloca al software de terceros bajo los reflectores

En la medida en que las organizaciones en todo el mundo batallan para abordar la vulnerabilidad crítica Log4j, conocida como Log4Shell, la pregunta en la mente de todo líder de equipo de seguridad es: ¿cómo puedo saber si esto me ha invadido?

Actualización 17 de diciembre: Apache ha actualizado la gravedad de CVE-2021-45046, una segunda vulnerabilidad de Log4j, de baja a crítica (9.0 CVSSv3) mencionando una posible RCE bajo determinadas configuraciones. Para obtener más información, consulte esta publicación en Tenable Community.

La absoluta ubicuidad de Apache Log4j, un marco de registro de código abierto, hace que esta sea una pregunta particularmente difícil de responder.

Muchas organizaciones utilizan Log4j en su propio código fuente, pero también se utiliza en muchos de los productos que estas organizaciones adquieren de terceros. Las organizaciones que han adoptado el abordaje de “acelerar la detección” en su ciclo de vida de desarrollo de software seguro (SSDL), pueden analizar su propio código fuente para detectar y reparar la falla en sus propios sistemas.

Un abordaje de SSDL que incluye pruebas de seguridad de aplicaciones estáticas (SAST), pruebas de seguridad de aplicaciones dinámicas (DAST), comprobación de dependencias de terceros, escaneo de seguridad de contenedores, gestión de vulnerabilidades e infraestructura como código (IAC) conforme sea necesario. Pero incluso con todas esas prácticas implementadas, las organizaciones seguirán luchando para capturar todo lo que hay rápidamente. La gestión de vulnerabilidades y el escaneo de aplicaciones web también son cruciales, especialmente cuando se trata de software de terceros. No basta con descubrir si existe o no la falla, sino que también es necesario comprender el nivel de riesgo que representa en el contexto de la combinación de aplicaciones, activos y procesos de negocios de su organización.

Aunque el reciente decreto del gobierno de Biden pide a las organizaciones que desarrollen una lista de materiales de software (SBOM), la mayoría de los proveedores no suministran SBOM para su software. E incluso si lo hacen, la mayoría de las organizaciones permanecen a años luz de contar con los procesos y las capacidades para hacer un uso eficaz de ellas. Por lo tanto, cuando se produce un incidente como el de log4j, los líderes de ciberseguridad tienen una opción: llamar a sus proveedores terceros y preguntarles. Esta es una labor ardua, redundante y que requiere mucho tiempo, lo que genera mucho revuelo en las organizaciones, incluso cuando los atacantes se apresuran a explotar la falla.

Solo las preguntas frecuentes: CVE-2021-45046, CVE-2021-4104:Preguntas frecuentes acerca de Log4Shell y vulnerabilidades asociadas.

Hasta en las organizaciones más maduras, donde las prácticas de SSDL y las SBOM están arraigadas en los procesos, siguen existiendo brechas que hacen difícil que las organizaciones de seguridad respondan a estas cinco preguntas fundamentales:

  1. ¿Los ejecutamos en nuestros entornos?
  2. ¿Y en nuestra infraestructura?
  3. ¿Y en nuestros propios pipelines?
  4. ¿Y los proveedores de nuestra infraestructura? (este punto es especialmente pertinente si utilizan servicios de proveedor de servicios en la nube)
  5. Dado que el análisis de composición de software (SCA) no descubrirá todas las instancias de Log4J, ¿hemos ejecutado otros controles, como la infraestructura como el código (IAC), la gestión de vulnerabilidades o el escaneo de aplicaciones web en todos los componentes de nuestro código?

La conclusión es la siguiente: No hay una reparación fácil para Log4j. Ya se ha demostrado que una opción obvia, la implementación de un firewall de aplicaciones web, es bastante fácil de eludir. Una organización responsable debe actualizar su software principal y comprender cómo esta falla afecta al perfil de riesgo general. Las organizaciones que responden ahora están tomando decisiones en modo de crisis; una vez que la crisis inicial haya pasado, la tentación será decir “misión cumplida” y olvidarse. Nosotros pensamos que ese, es un error catastrófico. Ya hemos llegado al momento de que las organizaciones realicen el duro trabajo de reparar su infraestructura y mantener sus sistemas con un abordaje basado en la seguridad.

En Tenable estamos comprometidos con el SSDL y estamos tomando las siguientes medidas en respuesta a Log4j:

  • Tenemos compuertas de bloqueo y, en este caso, estamos bloqueando el uso de cualquier instancia vulnerable de software, para incluir Log4j. 
  • Realizamos de forma activa y constante escaneos de gestión de vulnerabilidades y escaneos de aplicaciones web en toda nuestra infraestructura y código de productos previamente a su lanzamiento, antes de su envío a los clientes.
  • Además, hemos puesto en práctica todos los indicadores de riesgo y ataque y hemos implementado controles a nivel de red y host.

Seguiremos monitoreando la inteligencia de amenazas para realizar un seguimiento del panorama de amenazas y realizar ajustes según sea necesario. Al final, responder a cualquier incidente consiste en saber qué hay en su entorno y conocer su superficie de ataque, incluidos los dispositivos de terceros, y reducir rápidamente el riesgo. El tiempo es fundamental. Los adversarios están siempre dispuestos a aprovechar las vulnerabilidades más recientes y a utilizarlas en su beneficio. Las organizaciones deben hacer todo lo posible para analizar sus prácticas ahora, ya que los efectos de este incidente afectarán al software empresarial durante los próximos años.

Más información

Artículos relacionados

Noticias de ciberseguridad que le son útiles

Ingrese su correo electrónico y nunca se pierda alertas oportunas y orientación en seguridad de los expertos de Tenable.

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Las pruebas de Tenable Vulnerability Management creadas en todas partes, excepto en los Emiratos Árabes Unidos, también incluirán Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Las pruebas de Tenable Vulnerability Management creadas en todas partes, excepto en los Emiratos Árabes Unidos, también incluirán Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Las pruebas de Tenable Vulnerability Management creadas en todas partes, excepto en los Emiratos Árabes Unidos, también incluirán Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Probar Tenable Web App Scanning

Disfrute de accesos de seguridad completos a nuestra última oferta de análisis de vulnerabilidades de aplicaciones web diseñada para aplicaciones modernas como parte de la plataforma Tenable One Exposure Management. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Registrarse ahora.

Su prueba de Tenable Web App Scanning también incluye Tenable Vulnerability Management y Tenable Lumin.

Comprar Tenable Web App Scanning

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Probar Tenable Lumin

Visualice y explore su gestión de exposición, realice un seguimiento de la reducción de riesgos de seguridad en la nube a lo largo del tiempo y compárese con sus competidores con Tenable Lumin.

Su prueba de Tenable Lumin también incluye Tenable Vulnerability Management y Tenable Web App Scanning.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para saber cómo puede ayudarle Tenable Lumin a obtener información de toda su organización y gestionar vulnerabilidades y riesgos cibernéticos.

Probar Tenable Nessus Professional gratuitamente

GRATIS POR 7 DÍAS

Tenable Nessus es el escáner de vulnerabilidad más completo en el mercado hoy en día.

NUEVO - Tenable Nessus Expert
Ahora disponible

Nessus Expert viene con aún más funcionalidades, incluyendo análisis de vulnerabilidades de superficie de ataque externa y la capacidad de agregar dominios y escanear infraestructura en la nube. Haga clic aquí para probar Nessus Expert.

Rellene el formulario a continuación para continuar con la prueba de Nessus Pro.

Comprar Tenable Nessus Professional

Tenable Nessus es el escáner de vulnerabilidad más completo en el mercado hoy en día. Tenable Nessus Professional ayudará a automatizar el proceso de análisis de vulnerabilidades, ahorrará tiempo en sus ciclos de cumplimiento y le permitirá involucrar a su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año.

Seleccione su licencia

Compre una licencia multi anual y ahorre.

Añada soporte y capacitación

Probar Tenable Nessus Expert gratuitamente

GRATIS POR 7 DÍAS

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

¿Ya tiene Tenable Nessus Professional?
Actualice a Nessus Expert gratuitamente por 7 días.

Comprar Tenable Nessus Expert

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

Seleccione su licencia

Compre una licencia plurianual y ahorre más.

Añada soporte y capacitación