Desde el 11 de Diciembre de 2021, desde diversos canales (incluídos BCI [1] y CISA [2]) se avisa acerca de la existencia de una explotación sobre una vulnerabilidad en la librería Java "Log4j" (ataque en día cero, CVE-2021-44228).
Afecta a Hornetsecurity?
El grupo Hornetsecurity tiene altos requisitos de seguridad en su plataforma IT. Hacemos análisis automáticos a intervalos regulares en busca de vulnerabilidades para mitigar amenazas de seguridad en cualquiera de sus fases. El proceso establecido nos ha ayudado a canalizar rápidamente este nuevo riesgo para proteger nuestra infraestructura y servicios.
El Grupo Hornetsecurity analizó sus sistemas para determinar si la vulnerabilidad en cuestión pudiera ser una amenaza de forma directa o indirecta. Para ello hemos:
- Realizado un análisis de la vulnerabilidad automatizado
- Comprobado nuestros paquetes de software y dependencias instaladas en los respectivos sistemas
- Revisado los comunicados de terceros, cuyo software usamos, y los hemos comparado con nuestros descubrimientos
Infraestructura primaria (usada directamente para procesar datos de clientes)
Los sistemas, a este nivel, no están afectados por la vulnerabilidad
Infraestructura secundaria (sistemas "downstream", que procesan indirectamente datos de clientes).
Hemos identificado algunos sistemas que solían procesar metadatos que están afectados por la vulnerabilidad.
Como medida intermedia, las soluciones alternativas recomendadas para mitigación han sido implementados. Los segmentos de red de los sistemas afectados están habilitados tan sólo para comunicarse con los sistemas de la infraestructura primaria, el tráfico saliente está bloqueado.
Como resultado, un hipotético flujo de datos saliente hacia terceros, lo cual sería posible explotando la vulnerabilidad, no es posible en nuestro caso.
Nuestros sistemas serán parcheados fuera de las horas centrales del día en Europa, empezando el 13 de Diciembre de 2021. Esperamos que los parches sean aplicados a todos nuestros sistemas no después del 19 de Diciembre de 2021. No esperamos ninguna disrupción del servicio.
Infraestructura terciaria (soporte y algunas herramientas de desarrollo que no están conectadas con servicios de entrega)
Hemos detectado los sistemas afectados por esta vulnerabilidad. Su acceso está disponible tan sólo a personal técnico. El riesgo de explotación de la vulnerabilidad se considera como muy bajo.
Los sistemas afectados serán parcheados en base a las necesidades en los próximos 7 días.
Puede Hornetsecurity detectar ataques Log4j? Y cómo estoy protegido?
Hemos detallado el contexto de la vulnerabilidad de seguridad en nuestro blog, puedes encontrar una respuesta detallada en este tema del blog.
Actualización 23.12.2021
Los trabajos de mantenimiento interno en la vulnerabilidad crítica CVE-2021-44228 (log4j / log4shell) han sido completados el 19.12.2021 a las 18.00h, según lo anunciado.
Hemos evaluado los nuevos reportes de vulnerabilidad CVE-2021-45046 and CVE-2021-45105, acerca de la libería Java "log4j" con un riesgo significativamente más bajo. CVE-2021-45046 describe un nuevo código de ejecución remota de la vulnerabilidad con una puntación base de CVSS de 9,0. CVE-2021-45105 es una vulnerabilidad de Denegación de Servicio con una puntuación base de CVSS de 7.5.
De nuevo, los sistemas externos no han sido afectados. Nuestro equipo interno de seguridad analizó minuciosamente nuestros sistemas secundario y terciario para determinar cuáles de nuestros sistemas están afectados y cómo pueden ser explotados por las vulnerabilidades recientemente identificadas. Nuestras mitigaciones aplicadas contra CVE-2021-44228 reducen el riesgo de explotación a través de la vulnerabilidad CVE-2021-45046 (RCE) de forma remarcable. CVE-2021-45105 (DoS) no afecta a nuestro sistema. Todos los sistemas han sido o serán parcheados tan pronto como dichos parches estén disponibles por los fabricantes. Hasta entonces, las mitigaciones desplegadas están en efecto para proteger nuestros sistemas y servicios.
Seguiremos monitorizando y evaluando 24x7 todos los reportes de vulnerabilidad con el fin de derivar e implementar las medidas necesarias para mantener la seguridad a corto plazo La disponibilidad del Equipo de Respuesta a Emergencias también está garantizada durante las próximas vacaciones.
Comentarios
0 comentarios
El artículo está cerrado para comentarios.