Log4Shell: cinco pasos que la comunidad de TO debe emprender ahora mismo

Los entornos de tecnología operativa (OT) también están en riesgo por la falla en Apache Log4j. Esto es lo que usted puede hacer hoy.

Internet está en llamas; pero usted ya lo sabía. CVE-2021-44228:La vulnerabilidad de ejecución de código remota Log4j (Log4Shell) se está clasificando como una de las vulnerabilidades más generalizadas y potencialmente de más largo alcance de la historia. Log4j es una biblioteca de registros de código abierto de Java que se utiliza ampliamente por los desarrolladores. El uso de bibliotecas de terceros para funcionalidad básica no es solo un problema de TI. Log4j está integrado en entornos de tecnología operativa (OT). De hecho, los proveedores de OT ya están publicando avisos sobre cómo afecta a sus productos.

En las próximas semanas y meses, comenzaremos a comprender la presencia y el alcance de esta vulnerabilidad particular en la infraestructura de OT. Pero sin duda, se utiliza para realizar funciones críticas de registros de OT, lo que hace que los sistemas sean vulnerables a la ejecución trivial de código remoto. Pero incluso si usted no utiliza esto en su infraestructura de OT, puede aún estar en riesgo.

Dado que las organizaciones han hecho converger sus operaciones de TI y OT, no sería la primera vez que un ataque migrara entre TI y OT. Incluso si sus instalaciones están completamente aisladas, existe una probabilidad grande de que pueda tener una "convergencia accidental". Si no toma medidas definitivas para proteger su infraestructura de OT, sus operaciones pueden estar en riesgo.

Solo las preguntas frecuentes: CVE-2021-45046, CVE-2021-4104:Preguntas frecuentes acerca de Log4Shell y vulnerabilidades asociadas.

Aquí presentamos cinco pasos a emprender para proteger su entorno de OT contra Log4j:

1. Siga la orientación oficial. Las organizaciones como la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos han emitido orientación específica. Es fundamental estar familiarizado con esta orientación y seguirla de forma continua. El cumplimiento y la confianza en los marcos de MITRE, el Instituto Nacional de Estándares y Tecnología (NIST) de los EE. UU., los Sistemas de Información y Redes (NIS) del Reino Unido y la Corporación Norteamericana de Confiabilidad Eléctrica (NERC), pueden ayudar a su organización a establecer las mejores prácticas para mantenerse alerta frente a las condiciones de amenazas dinámicas.
2. Sepa lo que tiene. El inventario de activos es una piedra angular de cualquier programa de seguridad y puede proporcionar un conocimiento profundo de la situación. Implica algo más que registrar la marca y el modelo de todo en su entorno. Requiere tener un inventario actualizado de versiones de firmware, niveles de parches, rutas de comunicación, acceso y mucho más. El monitoreo de la red por sí solo, únicamente proporcionará algunos de los detalles; también es necesario realizar consultas activas y específicas del dispositivo para obtener los detalles concretos.
3. Ejecute un escaneo específico de los activos de TI. Una vez que tenga un buen inventario de activos, debería poder ejecutar un escaneo de vulnerabilidades para saber en qué otro lugar podría verse afectado. La investigación de Tenable ha identificado y desplegado las firmas para detectar el exploit de Log4J o Log4Shell. Nuestros lanzamientos continuos de plug-ins se pueden encontrar aquí. Se recomienda ejecutar un escaneo dirigido con plug-ins recientemente emitidos para identificar elementos en riesgo.
4. Comprenda su exposición de OT más amplia. Una de las mejores prácticas es tener una buena opción de escaneo, como Nessus, para ejecutar un escaneo de vulnerabilidades de sus activos de TI, y tener una opción específica de OT, como Tenable.ot, para tratar específicamente con sus activos de OT. De hecho, Tenable.ot contiene Nessus y ejecuta verificaciones de vulnerabilidades tanto para los activos de TI como para los de OT. Se emplean protecciones específicas para garantizar que Nessus sólo escanee los activos de TI, mientras que Tenable.ot se ocupa de los activos de OT. 
5. Sea proactivo en la reducción del riesgo. Si solo confía en las alertas de detección de intrusiones para advertirle de un riesgo o de un sistema explotado, ya será demasiado tarde. Las evaluaciones de amenazas en curso deben incluir la inteligencia y las fuentes más actualizadas. Las redes de TI y OT ya están interconectadas en la mayoría de los entornos y los atacantes aprovechan esta convergencia. Si le preocupa que Log4j sea explotado en su entorno, Tenable puede ayudarlo.

A largo plazo, toda la comunidad de manufactura e infraestructura crítica necesita mejorar su comprensión de lo que se está utilizando dentro de los sistemas para obtener un profundo conocimiento situacional, que es necesario para abordar las nuevas amenazas a medida que surjan en la realidad. La iniciativa de la lista de materiales de software (SBOM) fue exigida por una orden ejecutiva emitida en mayo de 2021. Una SBOM puede proporcionar a los usuarios finales la transparencia necesaria para saber si sus productos dependen de bibliotecas de software vulnerables.

No cabe duda de que en los próximos años nos enfrentaremos a la vulnerabilidad de Log4j y, por desgracia, sin duda aparecerán otras vulnerabilidades en el futuro. Con las personas, los procesos y las tecnologías adecuados, las organizaciones de todo el mundo pueden utilizar rápida y colectivamente la toma de decisiones basada en el riesgo para minimizar las consecuencias de vulnerabilidades como Log4Shell y proteger la infraestructura crítica del mundo.

También contribuyó a este blog Michael Rothschild, quien es director sénior de soluciones de OT de Tenable.

Más información

• Visite el centro de soluciones de Tenable Log4j: https://www.tenable.com/log4j
• Lea la alerta SRT: CVE-2021-44228:Prueba de concepto para la vulnerabilidad de ejecución remota de código crítica en Apache Log4j disponible (Log4Shell)
• Lea las Preguntas frecuentes: CVE-2021-44228, CVE-2021-45046, CVE-2021-4104: Preguntas frecuentes acerca de Log4Shell y vulnerabilidades asociadas
• Lea la perspectiva del CISO: La falla en Apache Log4j coloca al software de terceros bajo los reflectores
• Visite nuestra comunidad de usuarios para obtener más información de cómo Tenable puede ayudarle: https://community.tenable.com/s/