- Administración abierta
- Congreso Gobierno Digital
Congreso Gobierno Digital: el espacio de conexión estratégica entre la administración y las empresas
El 10 de diciembre se hizo pública una vulnerabilidad que afecta a la librería de registro de Java Apache 'Log4j 2', herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registro cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución. Además, Log4j permite filtrar los mensajes en función de su importancia.
'Log4j 2' es un sistema de registro muy común utilizado por los desarrolladores de aplicaciones web y servidores basadas en Java y otros lenguajes de programación. En consecuencia, la vulnerabilidad afecta a una amplia gama de servicios y aplicaciones, incluyendo aplicaciones empresariales y servicios en la nube.
El peligro que suscita esta vulnerabilidad es que uno atacante puede explotar-la enviando un malware que acabará siendo registrado por Log4j y dará acceso al atacante al sistema, que podrá ejecutar código remotamente.
Acciones
El CCN-CERT emitió el mismo día 10 de diciembre una alerta con indicador de nivel de peligrosidad crítico, después de conocerse la vulnerabilidad al ser reportada por un ingeniero de ciberseguridad en github el 9 de diciembre, con varias oleadas de recomendaciones el 10 y el 13 de diciembre.
Para tomar las medidas de verificación, contención y erradicación que se consideren adecuadas, la Agencia de Ciberseguridad de Cataluña ofrece una serie de recomendaciones que se encuentran recogidas en el boletín de ciberseguridad “Vulnerabilidades Log4J”.
La SGAD, en relación con sus propios sistemas, ha identificado sistemas y aplicaciones afectadas y en adoptar medidas de mitigación priorizadas actualizaciones y ajustes de configuraciones. La SGAD se ha dirigido a los contactos COCS-CDTIC llamando a la aplicación de las recomendaciones indicadas por CCN-CERT para mitigar la vulnerabilidad y para que se informe a la SGAD de las acciones emprendidas.