16 de diciembre de 2021

Vulnerabilidad 0Day Log4j

Nueva vulnerabilidad de Java Log4j que afecta a millones de aplicaciones

GSF Bróker Ciberriesgos 16 de diciembre de 2021

El pasado 9 de diciembre se hizo pública una vulnerabilidad 0day en la popular biblioteca de software de código abierto Java Log4j, utilizada para crear registro, almacenar y crear información de registro de software, aplicaciones, dispositivos de hardware, etc. Esta plataforma es utilizada en muchos productos, tanto comerciales como en desarrollos propios basados en Java.

¿Cuál es el riesgo?

Se trata de una vulnerabilidad especialmente peligrosa porque su explotación puede realizarse de forma remota, no requiere autenticación y puede dar acceso completo al servidor/dispositivo atacado. Además, se puede atacar usando solo una línea de código, y, de hecho, ya se han publicado ataques de prueba de concepto.

Además, se trata de una biblioteca de registros ampliamente utilizada y se encuentra en una extensa gama de dispositivos y software de empresas como Apache Struts y Tomcat, Solr, distribuciones de Linux, Blackberry Symantec, Apple, etc.

¿Quiénes son los más afectados?

Desgraciadamente, no hay ningún tipo de organización que pueda verse más afectada que otra y, por tanto, para una empresa es complicado saber si es vulnerable. Por poner un ejemplo, podrías no tener la vulnerabilidad en tu versión de software, pero sí en los dispositivos que utilizas (como los dispositivos VPN, los proveedores de la nube, etc.).

Como se trata de una biblioteca de Apache, es más probable que se ejecute en servidores Linux. Sin embargo, al tratarse de una vulnerabilidad de Java puede ejecutarse en múltiples plataformas, los servidores Windows y Apple también podrían ser vulnerables.

Se sospecha que las empresas con una facturación de entre 25 millones y 1.000 millones de euros son las que corren más riesgo, debido a que es probable que estén ejecutando software o dispositivos vulnerables. Estas mismas empresas son también las que deberían tener la capacidad de detección y los conocimientos necesarios para ponerle remedio a esta vulnerabilidad.

¿Qué hacer?

Preguntas clave que deberías hacerte como dueño o gerente de la empresa:

¿Eres consciente de la reciente vulnerabilidad de log4j, también conocida como CVE-2021-44228 o log4shell?
¿Has evaluado tu exposición a la misma para el caso de las aplicaciones desarrolladas internamente?
¿Has hablado con tus proveedores de hardware/software/nube y has evaluado si tus servicios se han visto afectados?
¿Tienes un plan para desplegar actualizaciones a partir de los resultados de las preguntas anteriores?

Pasos a seguir por el personal con conocimientos técnicos

(NOTA: En caso de duda, entrega este documento a tus proveedores de servicios de TI, quienes pueden trabajar en estos pasos contigo. Sin embargo, ten en cuenta que estas son medidas preventivas para mantener la seguridad de tu infraestructura de TI y, por lo tanto, no están cubiertas por tu pólizaEs el documento donde se explicitan los derechos y deberes d ciber).

Paso 1: Identifica a todos tus proveedores de TI.

Además de los servidores Windows y Linux, deben incluirse dispositivos como firewalls, servidores de registro, hipervisores, enrutadores, proveedores en la nube (por ejemplo, sistemas financieros y de recursos humanos).

Además, el software también se puede utilizar en máquinas industriales. Por lo tanto, estos sistemas (ICS, SCADA, IoT) deben verificarse para detectar esta vulnerabilidad de seguridad y comunicarse con el fabricante de estos sistemas.

Paso 2: Para cada proveedor, establece si su software es vulnerable y si hay un parche disponible.

El INCIBE tiene una base de datos con información en castellano sobre las últimas vulnerabilidades documentadas y conocidas, así como si hay un parche o una solución alternativa disponible. Debes hacer una referencia cruzada de tu lista de proveedores de TI con la información en el enlace a continuación:

https://www.incibe-cert.es/alerta-temprana/vulnerabilidades

Paso 3: aplica los parches para cada servicio.

Cada fabricante debería ofrecer consejos específicos sobre cómo instalar actualizaciones en sus servicios. Dado que los ataques que estamos viendo se originan en otros lugares distintos de Internet, debes priorizar la aplicación de parches a los sistemas perimetrales, como firewalls, balanceadores de carga, dispositivos de puerta de enlace y sistemas VPN, ya que todos son externos. Después de esto, cualquier otro sistema orientado a la web (servidores web, etc.) y finalmente el sistema interno en tus redes privadas.

Debido a la naturaleza generalizada de la vulnerabilidad, no existe una única solución para todos los casos en los que se puedan producir fallos de seguridad, pero seguir estos sencillos pasos reducirá significativamente tus riesgos de un futuro incidente de ciberseguridad a raíz de la vulnerabilidad Log4j.

Enlaces de interés para ampliar información

Estos enlaces son externos y no han sido examinados por Hiscox ni por GSF Bróker, pero sirven para entender más acerca de la problemática:

Información publicada por INCIBE con recursos y soluciones para protegerse y parchear tus sistemas
Detalles adicionales ofrecidos por Lunasec.
Lista de más de 180 proveedores con enlaces a sus consejos, recopilada por un investigador de seguridad francés.
Listado facilitado por el Centro Nacional de Seguridad Británico con un listado de casi 1.000 servicios que podrían tener o no esta vulnerabilidad.

SEDE PRINCIPAL

Avda. Madrid, 14
45003 · Toledo

	
			Lunes
			10:00 a 14:00 - 16:00 a 20:00
		
			Martes
			10:00 a 14:00 - 16:00 a 20:00
		
			Miércoles
			10:00 a 14:00 - 16:00 a 20:00
		
			Jueves
			10:00 a 14:00 - 16:00 a 20:00
		
			Viernes
			10:00 a 14:00 - 16:00 a 19:00
		
			Sábado
			Cerrado
		
			Lunes
			Cerrado

CONTACTA CON NOSOTROS

+34 925 23 48 33

GSF Bróker

Oficina Central

Avda. de Madrid, 14
45003 Toledo
+34 925 23 48 33

Delegación Madrid

+34 91 737 54 91

Acceso Área Colaboradores

Enlaces Interesantes

Condiciones Legales

INFORMACIÓN GENERAL

En cumplimiento con el deber de información recogido en el artículo 10 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, le informamos que la URL https://www.gsfbroker.com/ (en adelante el PORTAL) es un dominio propiedad de GABINETE DE SERVICIOS F TOLEDO S.L. (en adelante la ENTIDAD), con domicilio sito en Avda. Madrid, 14 - 45003 - Toledo, España, con C.I.F. nº B45465168. La entidad se encuentra debidamente inscrita en el Registro Mercantil de Toledo, al tomo 1028, folio 203, hoja núm. TO-15651, inscripción 1ª, Puede contactar con GABINETE DE SERVICIOS F. TOLEDO, SL, por medio del teléfono al 925239519, al e-mail gsfbroker@gsfbroker.com.

Igualmente informamos que la ENTIDAD está inscrita en el registro de mediadores de seguros de la Dirección General de Seguros y Fondos de Pensiones con la clave J1977, teniendo SOLISS MUTUALIDAD DE SEGUROS Y REASEGUROS A PRIMARemuneración económica que recibe la aseguradora para hace FIJA una participación significativa en el capital social.

Tal participación significativa en el capital social no interfiere en la operativa de la ENTIDAD ni en su independencia como Sociedad Correduría de Seguros Persona Jurídica.

Por su lado, la ENTIDAD no tiene participación significativa en ninguna aseguradoraPersona jurídica que cobra unas primas a cambio de asumir l ni en otros mediadores.

CONTENIDOS

El presente sitio web tiene un carácter meramente informativo, no constituyendo en ningún caso un medio de asesoramiento sobre ninguna de las áreas especificadas en el mismo, para lo cual el usuario deberá dirigirse al titular del sitio web.

La información incluida en el sitio web, ha seguido los requerimientos pedidos por la Ley, pero de ninguna forma eso implica que tenga que estar necesariamente detallada, completa, exacta o mantenerse actualizada, debido en su caso a las variaciones que puedan producirse en la normativa, jurisprudencia u otros documentos de interés considerados.

La utilización de la información proporcionada a través de este sitio web es responsabilidad exclusiva del usuario, no siendo la ENTIDAD, en ningún caso, responsable de los errores u omisiones que pudieran existir, así como de la aplicación o uso concreto que pueda hacerse de la misma.

PROPIEDAD INTELECTUAL

Todas las marcas, nombres comerciales o signos distintivos de cualquier clase que aparecen en el PORTAL son propiedad de GABINETE DE SERVICIOS F TOLEDO S.L. o de terceros, sin que pueda entenderse que el uso o acceso al sitio y/o a los servicios, atribuya al usuario derecho alguno sobre las citadas marcas, nombres comerciales y/o signos distintivos.

Asimismo, los contenidos publicados en la web, su diseño gráfico, imágenes, bases de datos y código fuente son propiedad intelectual de la ENTIDAD o de terceros, sin que puedan entenderse cedidos al usuario, en virtud de lo establecido en este Aviso Legal, ninguno de los derechos de explotación que existen o puedan existir sobre dichos contenidos más allá de lo estrictamente necesario para el correcto uso del PORTAL y de los servicios que se prestan a través de él.

El acceso a este web site es responsabilidad exclusiva de los usuarios. El simple acceso al PORTAL no supone entablar ningún tipo de relación de carácter comercial entre la ENTIDAD y el usuario. Accediendo a él acepta los siguientes términos y condiciones.

ENLACES

La ENTIDAD, no asume ninguna responsabilidad sobre los enlaces hacía otros sitios o páginas web que, en su caso, pudieran incluirse en el mismo, ya que no tiene ningún tipo de control sobre los mismos, por lo que el usuario accede bajo su exclusiva responsabilidad al contenido y en las condiciones de uso que rijan en los mismos.

Política de Privacidad

GABINETE DE SERVICIOS F. TOLEDO S.L., de nacionalidad española con domicilio social en Avda. de Madrid, 14, 45003 Toledo, es la titular del sitio web www.gsfbroker.com, y responsable del tratamiento de los datos de carácter personal suministrados por los usuarios a través de este sitio web.

Todos los datos facilitados a través de formularios electrónicos y/o mediante correo electrónico, a cualquier de las cuentas de la empresa, serán tratados con estricta confidencialidad según lo previsto en el Reglamento 2016/679 de Protección de Datos y Ley Orgánica 3/2018, de Protección de Datos Personales y garantíaCompromiso de la aseguradora por el que se hace cargo, de ac de los derechos digitales. Los datos son facilitados por el titular de manera voluntaria y son los estrictamente necesarios, adecuados, pertinentes y no excesivos en relación con el ámbito y finalidades descritos. El usuario responderá, en cualquier caso, de la veracidad de los datos facilitados, reservándose GABINETE DE SERVICIOS F. TOLEDO el derecho a excluir de los servicios registrados a todo usuario que haya facilitado datos falsos, sin perjuicio de las demás acciones que procedan en Derecho.

El usuario autoriza el tratamiento de los datos suministrados de manera voluntaria a través de este sitio web, así como todos aquellos que pudiera facilitar a GABINETE DE SERVICIOS F. TOLEDO S.L. directamente y / o a través de sus mediadores, o por cualquier otro medio, para dar cumplimiento del propio contrato de seguroEs aquel por el que el asegurador se obliga, mediante el cob, solicitud de información o contratación de cualquier producto.

Finalidades del tratamiento:

Prestar servicio profesional de mediación y asesoramiento financiero, incluido el análisis del perfil personal del cedente
Celebrar nuevos contratos, modificar y/o resolver los contratos de seguros ya vigentes y de los que sea parteEn el ámbito judicial, hablamos de “parte” como cada pe el cedente, seguimiento y gestión de incidencias y siniestros
Tratar y ceder datos de salud necesarios para productos de distribuidores que requieran, y sean solicitados por el cedente
Informar por cualquier medio sobre productos o servicios de seguros o financieros relacionados con su contratación

Los datos recabados en los cuestionarios puestos a disposición en la página web solo serán utilizados para las finalidades encomendadas por los interesados, asimismo, la información de carácter personal contenida en el contrato será objeto de tratamiento mientras esté vigente la relación contractual con las entidades objeto de intermediación, y una vez extinguida ésta, se conservará durante el plazo legal de responsabilidad.

En caso de cesión de datos, esta será exclusivamente para la ejecución del contrato de mediación de seguros, realizándose este en virtud de un estudio personalizado del perfil del cedente, dirigido única y exclusivamente a la búsqueda de los productos que mejor se adapten al mismo, dentro de la oferta que GABINETE DE SERVICIOS F. TOLEDO pueda ofrecerle.

En base a la información facilitada, se realizan análisis de su perfil personal al objeto de prestarle un eficaz asesoramiento. Los datos proporcionados a las compañías de seguros pueden ser tratados por las mismas al objeto de adoptar decisiones automatizadas, en base a sus estadísticas de análisis de riesgos. En tal caso, se trataría de decisiones permitidas por la normativa, al ser necesaria para la celebración de un contrato con la compañía.

El cedente autoriza a GABINETE DE SERVICIOS F. TOLEDO a tratar y ceder a los distribuidores que oferten los seguros solicitados y que sean requeridos por estas compañías a las que se les solicite cotización.

La cesión de estos datos será previa a la celebración de un contrato, con la finalidad de poder ofrecer un asesoramiento independiente y ceder estos datos a las compañías aseguradoras que vayan a estudiar el riesgo y perfil del cedente, y la formalización del contrato, en su caso.

Tras el asesoramiento objetivo de GABINETE DE SERVICIOS F. TOLEDO, el cedente opte por contratar un seguroActividad económica y financiera con un objetivo principal: de los ofrecidos, tras la celebración del contrato, se acepta expresamente la cesión de estos datos, para prestarle asistencia y asesoramiento, incluido en caso de siniestroEl siniestro es una situación nefasta amparada por el segur.

Para la gestión de su presupuesto o pólizaEs el documento donde se explicitan los derechos y deberes d, le informamos que sus datos deberán ser comunicados a entidades aseguradoras y aquellas otras entidades en los que tenga GABINETE DE SERVICIOS F.TOLEDO un convenio de colaboración o una relación de prestación de servicios:

Compañías aseguradoras
Agencias de suscripción
Otras corredurías
Profesionales auxiliares en la gestión del siniestroEl siniestro es una situación nefasta amparada por el segur como Peritos, abogados, médicos, etc.
En su caso Ministerio de Economía

Conforme a lo definido en la Ley Orgánica de Protección de datos personales y garantíaCompromiso de la aseguradora por el que se hace cargo, de ac de derechos digitales 3/2018, de 5 de diciembre, el usuario tiene derecho a revocar el presente consentimiento, a solicitar el acceso a los datos personales que le conciernen, a solicitar su rectificación o supresión, a solicitar la limitación del tratamiento, a oponerse a su tratamiento y/o el derecho de portabilidad de los datos.

El ejercicio de tales derechos se realizará siguiendo las disposiciones marcadas en el Artículo 12 del Reglamento UE General de protección de datos 2016/679 o sus concordantes en la Ley Orgánica 3/2018.

Para poder ejercer dichos derechos, deberá notificarlo por escrito, dirigiendo su solicitud a GABINETE DE SERVICIOS F. TOLEDO, avenida de Madrid 14, 45003 Toledo, gsfbroker@gsfbroker.com, acompañando en la solicitud fotocopia de su DNI.

Para cualquier otro asunto relacionado con la protección de datos, usted puede contactar con el Delegado de Protección de datos de GABINETE DE SERVICIOS F. TOLEDO en la dirección de correo gsfbroker@gsfbroker.com.

Igualmente, se le informa que tiene usted derecho a presentar una reclamación ante la autoridad de control de la protección de datos existente. Agencia de protección de datos, mediante los procedimientos establecidos y formularios disponibles en la web www.aepd.es.

Respecto a los derechos que asisten al usuario, cuenta además, con un servicio de atención al clienteEn el negocio de seguros, este término es empleado para des, al cual podrá dirigir sus quejas o reclamaciones a la Asociación Profesional de mediadores, sita en Calle Maldonado 41, bajo B, 28027 de Madrid, o a la dirección electrónica atencioncliente@apromes.com, de la misma manera se le informa que también podrá el usuario formular sus reclamaciones o quejas ante los servicios de atención al cliente de las aseguradoras con las que contraten seguros, así como ante la Dirección general de Seguros y fondos de pensiones, mediante formularios que aparecen en la página web www.dgdfp.mineco.es.

GABINETE DE SERVICIOS F. TOLEDO S.L. insiste en su compromiso de uso responsable y confidencial de los datos, garantizando que los datos de los usuarios se tratarán de acuerdo con las exigencias legales, y que tan sólo serán utilizados por GABINETE DE SERVICIOS F. TOLEDO S.L. con el propósito indicado.

GABINETE DE SERVICIOS F. TOLEDO y su personal dan la máxima garantíaCompromiso de la aseguradora por el que se hace cargo, de ac de cumplimiento del secreto legal o profesional sobre la información y datos a los que tenga acceso durante la prestación del servicio.

Lunes	10:00 a 14:00 - 16:00 a 20:00
Martes	10:00 a 14:00 - 16:00 a 20:00
Miércoles	10:00 a 14:00 - 16:00 a 20:00
Jueves	10:00 a 14:00 - 16:00 a 20:00
Viernes	10:00 a 14:00 - 16:00 a 19:00
Sábado	Cerrado
Lunes	Cerrado