El dispositivo hackeable más lejano ya no se encuentra en Marte: la NASA niega que el dron Ingenuity tenga instalado Log4J

El helicóptero Ingenuity, que sobrevuela desde hace meses la superficie del planeta Marte, ejecutó recientemente su trayecto número 17 (pese a que los planes originales contemplaban únicamente la realización de 5 de ellos). Al contrario que en los dieciséis anteriores, en los que todo fue sobre ruedas, esta vez algo falló…

…la comunicación entre Ingenuity y el rover Perseverance se interrumpió inesperadamente mientras el helicóptero descendía, y han hecho falta varios días para recuperar los datos de telemetría y confirmar que el vuelo fue exitoso (tanto, que estableció un nuevo récord de más de 30 minutos de vuelo).

¿Habrá algún hacker decidido a ejecutar el ataque más remoto de la historia?

Sólo cuatro días después de aquel vuelo, mientras la NASA aún permanecía a oscuras sobre lo ocurrido, saltó la noticia del descubrimiento de Log4Shell, una vulnerabilidad crítica que afecta a Log4J, una librería desarrollada por Apache que constituye un componente básico de miles de proyectos web, servicios online y dispositivos conectados.

La coincidencia en el tiempo de ambos hechos fue una mera casualidad, claro, pero pensar lo contrario no habría sido totalmente injustificado… habida cuenta de que Ingenuity lleva instalado Apache Log4J —junto a Linux y muchos otros componentes open source—, como difundió la propia Apache Foundation el pasado mes de junio en Twitter:

Did you know that Ingenuity, the Mars 2020 Helicopter mission, is powered by Apache Log4j? https://t.co/gV0uyE1ylk #Apache #OpenSource #innovation #community #logging #services pic.twitter.com/aFX9JdquP1

— Apache - The ASF (@TheASF) June 4, 2021

Y no parece probable que la NASA esté contemplando actualizar la versión de Log4J a la 2.16, la segunda versión lanzada en menos de una semana, con el fin de parchear todos los agujeros de seguridad vinculados a Log4Shell.

La conclusión de esto es sencilla: el dispositivo 'hackeable' —con una vulnerabilidad detectada y documentada— más lejano que conozcamos ya no son los ordenadores de la Estación Espacial Internacional… sino que se encuentra ahora mismo fuera de la órbita terrestre, sobre suelo marciano. O, dicho de otra forma, es el primer candidato al 'Ataque remoto de ejecución de código malicioso más remoto de la historia'.

En Genbeta

Tres desarrolladores que trabajan gratis han evitado pérdidas millonarias a algunas de las mayores compañías tecnológicas del mundo

La amenaza que supone Log4Shell para nuestra infraestructura tecnológica (la terrestre, digo) ya ha sido puntuada con un 10/10 en el CVSS (Common Vulnerability Scoring System), un estándar de medición de la gravedad de vulnerabilidades. Tanto como para lograr que un simple mensaje en el chat de una partida de Minecraft permita hackear los servidores de éste.

En cualquier caso, estemos tranquilos: la posibilidad de que alguien llegue a explotar las vulnerabilidades del Log4J durante el tiempo que dure su misión son enormemente reducidas: para atacar el dispositivo, alguien debe conectarse al mismo y ejecutar un script… lo que es imposible que ocurra sin que el atacante forme parte de la misma NASA.