16 Dec 21

El WAF y la vulnerabilidad log4j

log4j

Detrás de las siglas WAF se esconde una de las mejores herramientas para proteger una web del tráfico malicioso. El WAF (web application firewall), es una herramienta preventiva para evitar ataques que se sitúa entre la propia web y el posible atacante.

Al igual que contrataríamos equipos de seguridad para proteger las oficinas de trabajo en las que hay material importante, el WAF actúa como una medida de precaución frente a una posible infección o ataque en Internet que afecte a nuestro negocio.

Todos los WAF tienen como misión actuar como un muro entre posibles ataques y un sitio web. Evitar que un sitio sea atacado por peticiones maliciosas es su función principal y su funcionalidad depende de cómo se implemente y de las reglas que se apliquen.

En este post queremos hablarte de cómo el WAF puede ayudarte ante vulnerabilidades como la que lleva días marcando las conversaciones de los expertos en seguridad. Nos referimos a la vulnerabilidad CVE-2021-44228 en la librería de registro de log4j.

A pesar de que a diario vemos problemas de seguridad de mayor o menor impacto, todo el panorama informático ha sido sacudido por la publicación de esta vulnerabilidad crítica, puntuada con el máximo riesgo disponible. Como decíamos, se produce en la librería de registro de log4j que es usada en millones de aplicaciones del lenguaje de programación Java para hacer logging, es decir, mantener trazas de lo que está realizando la aplicación.

¿Cómo funciona la vulnerabilidad?

Este diagrama publicado en Twitter por el equipo de respuesta a incidentes de seguridad informática del National Cyber Security Center (NCSC) del Gobierno Suizo es una muy buena explicación gráfica.

log4j_waf
log4j_waf

¿ Por qué es tan grave?

Debido a lo extendido de la librería, a las características de la vulnerabilidad y a lo fácil de explotarla, se ha puntuado con el máximo riesgo cvss (https://www.first.org/cvss/). Para un atacante es fácil incluir código malicioso en una petición web que dispare la vulnerabilidad en el servidor afectado, ejecutando código remotamente en el mismo, lo que puede permitir desde hacerse con el control del servidor remoto a robar datos sensibles del mismo.

¿ Puede afectar a mi web?

Si utilizas un software basado en Java, es probable que tengas que revisarlo. Se han recopilado una gran cantidad de listas públicas de software comprometido, y puede ser que tu servidor esté afectado.

No puedo parchear, ¿no hay nada que hacer?

Aunque la acción recomendada es actualizar el software para eliminar la vulnerabilidad, sí que hay estrategias de mitigación. Una de ellas es desactivar la funcionalidad afectada, que son las búsquedas de JNDI en log4j. Otra de ellas es tener una capa de WAF por encima de tus aplicaciones de servidor como el de Transparent Edge. 

Nuestro WAF es un servicio de seguridad en la nube que protege tus sites de los principales ataques de aplicación conocidos, como SQL Injection, XSS, CSRF, etc. ¿Qué funcionalidades tiene nuestro WAF?

  • Bot Detection: Detecta el tráfico de bots y actúa en consecuencia.
  • Top 10 OWASP: Implementamos el ruleset Top 10 de OWASP de forma predeterminada.
  • Custom Rules: Adaptamos nuestras reglas a las necesidades de tu aplicación.
  • WordPress protection: Puesto que WordPress es uno de los CMS más utilizados en el mundo, Transparent WAF implementa un conjunto de reglas específicas para proteger tu site basado en WordPress.
  • Gestionado: Este tipo de servicios son muy útiles a la hora de aumentar la seguridad web de tu negocio online, pero también complicados de gestionar. Delégalo en nosotros.
  • Origin Signature: Firmamos las peticiones que pasan por nuestros sistemas para que el servidor de origen solo atienda ese tráfico. Si alguien quiere acceder al servidor de origen directamente, no obtendrá respuesta.

Nuestro consejo: no esperes a tener problemas. Levanta un muro de protección entre tus servidores y los posibles atacantes con el WAF de Transparent Edge.