El dispositivo hackeable más lejano ya no se encuentra en Marte: la NASA niega que el dron Ingenuity tenga instalado Log4J

El dispositivo hackeable más lejano ya no se encuentra en Marte: la NASA niega que el dron Ingenuity tenga instalado Log4J
6 comentarios

El helicóptero Ingenuity, que sobrevuela desde hace meses la superficie del planeta Marte, ejecutó recientemente su trayecto número 17 (pese a que los planes originales contemplaban únicamente la realización de 5 de ellos). Al contrario que en los dieciséis anteriores, en los que todo fue sobre ruedas, esta vez algo falló

la comunicación entre Ingenuity y el rover Perseverance se interrumpió inesperadamente mientras el helicóptero descendía, y han hecho falta varios días para recuperar los datos de telemetría y confirmar que el vuelo fue exitoso (tanto, que estableció un nuevo récord de más de 30 minutos de vuelo).

¿Habrá algún hacker decidido a ejecutar el ataque más remoto de la historia?

Sólo cuatro días después de aquel vuelo, mientras la NASA aún permanecía a oscuras sobre lo ocurrido, saltó la noticia del descubrimiento de Log4Shell, una vulnerabilidad crítica que afecta a Log4J, una librería desarrollada por Apache que constituye un componente básico de miles de proyectos web, servicios online y dispositivos conectados.

La coincidencia en el tiempo de ambos hechos fue una mera casualidad, claro, pero pensar lo contrario no habría sido totalmente injustificado… habida cuenta de que Ingenuity lleva instalado Apache Log4J —junto a Linux y muchos otros componentes open source—, como difundió la propia Apache Foundation el pasado mes de junio en Twitter:

Y no parece probable que la NASA esté contemplando actualizar la versión de Log4J a la 2.16, la segunda versión lanzada en menos de una semana, con el fin de parchear todos los agujeros de seguridad vinculados a Log4Shell.

Actualizar el software de un dispositivo al que no se tiene acceso físico suele ser una mala idea: cualquier pequeño error podría convertir Ingenuity en un enorme pisapapeles durante décadas

La conclusión de esto es sencilla: el dispositivo 'hackeable' —con una vulnerabilidad detectada y documentada— más lejano que conozcamos ya no son los ordenadores de la Estación Espacial Internacional… sino que se encuentra ahora mismo fuera de la órbita terrestre, sobre suelo marciano. O, dicho de otra forma, es el primer candidato al 'Ataque remoto de ejecución de código malicioso más remoto de la historia'.

La amenaza que supone Log4Shell para nuestra infraestructura tecnológica (la terrestre, digo) ya ha sido puntuada con un 10/10 en el CVSS (Common Vulnerability Scoring System), un estándar de medición de la gravedad de vulnerabilidades. Tanto como para lograr que un simple mensaje en el chat de una partida de Minecraft permita hackear los servidores de éste.

En cualquier caso, estemos tranquilos: la posibilidad de que alguien llegue a explotar las vulnerabilidades del Log4J durante el tiempo que dure su misión son enormemente reducidas: para atacar el dispositivo, alguien debe conectarse al mismo y ejecutar un script… lo que es imposible que ocurra sin que el atacante forme parte de la misma NASA.

Posteriormente a la publicación del artículo, la NASA negó que Log4J fuera parte del software del Ingenuity, y la Apache Foundation rectificó su información inicial: "Nos informaron erróneamente que Apache Log4j era parte de la misión Mars 2020 Helicopter, y lo agregamos erróneamente como parte de nuestra campaña 'Powered by Apache'. Hemos eliminado el tuit al que se hace referencia [publicado desde junio], con nuestras más profundas disculpas a la NASA por el error". Desde Genbeta lamentamos la confusión.

Temas
Inicio