Hostinger y Log4j

Muchos de nuestros clientes preguntan si Hostinger es débil contra la nueva vulnerabilidad de la biblioteca Apache Log4j basada en Java que ha estado en todas las noticias recientemente. Esta vulnerabilidad permite a un atacante ejecutar código en un servidor remoto.

Podemos confirmar que los servidores de hosting web de Hostinger no admiten servicios que dependan de Log4j, ni están instalados, lo que hace que tú y tus datos estén seguros y no se vean afectados por esta vulnerabilidad.

Nuestros sistemas API y UI no se ejecutan en Java, a excepción de nuestra instancia de Elasticsearch de uso interno que se ha parcheado. Por lo tanto, aunque hemos notado una afluencia de tráfico que golpea nuestras API con ‘jndi’, ‘ldap’ y numerosas variaciones de palabras clave que intentan activar el exploit Log4j, son inofensivos para nuestros sistemas y no tienen ningún impacto en datos de los clientes.

¿Cuál es el problema de la vulnerabilidad de Log4j? ¿Cómo se encontró Log4j? 

Log4j es una porción de código que ayuda a las aplicaciones de software a realizar un seguimiento de sus actividades pasadas. Cada vez que los desarrolladores crean un nuevo software, pueden aplicar este elemento de código existente, que es gratuito en Internet y de uso común. 

En las últimas semanas, la comunidad de ciberseguridad descubrió que al solicitar al programa que registre un código malicioso, dicho proceso llevaría a los atacantes a tomar el control de los servidores que ejecutan Log4j. 

Los orígenes del reporte de esta vulnerabilidad aún difieren: algunos creen que se notó por primera vez en un foro relacionado con Minecraft, mientras que otros señalan a los investigadores de seguridad de la empresa tecnológica china Alibaba. De cualquier manera, los expertos la llaman la vulnerabilidad de software más grave en cuanto a numerosos dispositivos, sitios y servicios expuestos.

¿Debo hacer algo con respecto a la vulnerabilidad de Log4j?

Nos gustaría informar a nuestros clientes de VPS, que ejecutan sus servicios Java en servidores VPS, que actualicen Log4j al menos a la versión 2.16.1. De lo contrario, actualiza el software correspondiente, incluido Log4j como paquete, y reinicia tus servicios. 

Específicamente para los usuarios de VPS Minecraft, el juego se actualizará automáticamente cuando abras el iniciador de MC. Por lo tanto, no omitas ni intentes detener la actualización. Estarás a salvo una vez que el juego se haya lanzado recientemente. Para obtener más información, consulta este artículo sobre la vulnerabilidad de seguridad en la edición de Java. 

Recomendamos al menos la versión 1.18.1 para tus clientes MC y cuando ejecutes tu servidor. 

¿Cómo puedo protegerme aún más del tráfico malicioso de la vulnerabilidad de Log4j?

A pesar de que las cuentas de hosting de tu sitio web en los servidores de Hostinger son seguras, se ejecutan escaneos masivos en rangos completos de IP de Internet. Escanean todos los sitios web en todo el mundo solo para encontrar hosts vulnerables. Este tráfico es molesto y puede hacer que la cuenta de tu sitio web use más recursos de los necesarios e incluso puede ralentizarlo. 

Recomendamos activar Cloudflare en tus sitios web. Dado que Cloudflare ha habilitado reglas WAF específicas de forma predeterminada (en el nivel gratuito), todo el tráfico malicioso de los escáneres de vulnerabilidad Log4j se eliminará.

También recomendamos seguir las noticias relevantes durante algunas semanas para asegurarse de que no sea necesario volver a parchear. Ya teníamos nuevas vulnerabilidades parcheadas para Log4j (CVE-2021-45046) después de que se encontró el error inicial (CVE-2021-44228). Como ahora hay tanto enfoque global en esta biblioteca Log4j, se encuentran continuamente nuevas formas de explotarla.

Podemos recordar y aprender de vulnerabilidades graves como Shellshock (vulnerabilidad de Bash) y Heartbleed (vulnerabilidad de TLS) que ocurrieron hace unos años cuando se necesitaron varios parches para asegurar los sistemas por completo.

¿Cómo podemos contribuir todos? La Fundación de Software Apache

Nosotros, Hostinger, somos una empresa abierta, creada principalmente sobre un software de código abierto. Tiempos como estos nos recuerdan que un software de código abierto es creado por entusiastas que básicamente no sacan nada de él. 

Cuando esta vulnerabilidad llegó al mundo durante el fin de semana, los mantenedores se reunieron y trabajaron durante días y noches para solucionar los problemas que afectan al mundo. Por lo tanto, merecen tanto respeto y reconocimiento por su trabajo y esfuerzo. 

Usemos esto como una oportunidad para apoyar a las comunidades y fundaciones. Entonces, presiona más ese botón de patrocinador y envía un buen karma. Por parte de Hostinger, hemos contribuido con una donación a La Fundación de Software Apache.

Además, si eres un desarrollador que necesita hosting para un proyecto o tienes dificultades para ponerlo online, infórmanos en support@hostinger.com. Todos nosotros en Hostinger estamos listos para ayudar.

Manténganse a salvo todos,

Balys Krikščiūnas
CTO en Hostinger

Lecturas adicionales:
https://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerability.html 

https://blog.cloudflare.com/dentro-de-la-vulnerabilidad-log4j2-cve-2021-44228/

Página de donaciones de ASF: https://www.apache.org/foundation/contributing.html

Valida el software afectado aquí: https://github.com/cisagov/log4j-affected-db