Un ataque día cero es aquella vulnerabilidad no detectada por el proveedor y/o que no cuenta con un parche de seguridad que impida vulnerar la brecha de seguridad.
El problema de los ataques día cero es que no existe la manera de defenderse con una simple actualización. Tienen que entrar en acción otras capas de seguridad de nuestra infraestructura con las que podamos identificar este tipo de ataque y detenerlo. Estas son nuestras herramientas de seguridad; es decir, usando Firewall, IDS/IPS, WAF (Web Application Firewall) u otros controles de seguridad que permiten monitorear el tráfico del usuario dentro de la aplicación.
Una vez que entendemos el problema de una vulnerabilidad día cero y de cómo defendernos contra estos tipos de ataque, entonces podemos hablar del nuevo ataque llamado Log4Shell.
Esta vulnerabilidad es llamada Log4Shell dado que en la librería log4j es vulnerable a la falta de validación de datos enviados; es posible ejecutar comando remoto.
El problema de esta vulnerabilidad es que es utilizada en casi en todas las aplicaciones web que utilizan el servicio web Apache, o la aplicación programada en Java; por su simplicidad de almacenar errores que genera la aplicación web.
El ataque de esta vulnerabilidad es explotado al momento en que un atacante introduce un comando malicioso en el encabezado X-Api-Version o cualquier otro encabezado que la aplicación utilice para almacenar errores del usuario. Esta es la razón de que sea un tipo de ataque crítico. Debemos de revisar todas nuestras aplicaciones que utilicen Apache, Java y/o la librería log4j.
Esta vulnerabilidad queda solventada por el proveedor Apache lo que implica que el desarrollador solo debe actualizar la librería de log4j. Una vez identificada, en 48 horas Apache la solventa en la librería vulnerable. Por lo mismo, se recomienda actualizar la librería de log4j. https://issues.apache.org/jira/browse/LOG4J2-2109