A vulnerabilidad crítico en una herramienta para iniciar sesión en diferentes servicios está causando un dolor de cabeza a miles de aplicaciones y empresas en todo el mundo, incluyendo Apple, Twitter, Cloudfare, Minecraft y Steam. El fallo, conocido como Log4Shell, afecta a la biblioteca de registros de código abierto Log4j, desarrollada por Fundación Apache.
El problema fue detectado el 9 de diciembre por el ingeniero Chen Zhaojun del equipo de seguridad en la nube de Alibaba. La falla está en una herramienta de código abierto utilizada por gobiernos e industrias. Los ciberdelincuentes se están aprovechando de la falla y las consecuencias no se conocerán hasta dentro de varios años, según los expertos.
“Internet está en llamas en este momento”, dijo Adam Meyer, vicepresidente senior de inteligencia de la firma de seguridad Crowdstrike. “La gente se apresura a encontrar un parche“Dijo,” y todo tipo de personas se han apresurado a intentar aprovechar “la vulnerabilidad.
En declaraciones realizadas el viernes por la mañana, Meyer informó que 12 horas después de que se anunció la falla, ya fue “utilizado totalmente como arma“Lo que significa que los ciberdelincuentes han desarrollado y distribuido medios para aprovecharlo.
La falla podría ser la peor vulnerabilidad cibernética descubierta en años. Fue descubierto en una herramienta de registro de código abierto que es omnipresente. en servidores en la nube y en software utilizado en oficinas gubernamentales y empresas. A menos que se corrija, el problema permite a los ciberdelincuentes, espías y principiantes en programación acceder fácilmente a las redes internas donde pueden saquear información valiosa, sembrar malware, borrar información crucial y mucho más.
El peligro que conlleva
Varios servicios se ven afectados por el hack. Foto de Reuters
“Me resulta difícil pensar que hay empresas que no están en riesgo”, dijo Joe Sullivan, director de seguridad de Cloudflare, cuya infraestructura en línea protege sitios web de actores maliciosos. Millones de servidores lo tienen instalado.
El director ejecutivo de la empresa de ciberseguridad Tenable, Amit Yoran, la describió como “la vulnerabilidad individual más grande y crítica de la última década” y posiblemente el más grande en la historia moderna de la informática.
La vulnerabilidad, llamada Log4Shell, fue calificada con un 10 en una escala de uno a 10 por la Apache Software Foundation, que supervisa el desarrollo de software. Alguien que tiene el “exploit” puede acceder completamente a una computadora no hay parches para usar el software.
Según los expertos, la extrema facilidad con la que la vulnerabilidad permite que un intruso acceda a un servidor web _sin contraseña_ es lo que lo hace demasiado peligroso. El equipo de respuesta a emergencias informáticas de Nueva Zelanda fue uno de los primeros en informar que la falla se estaba produciendo. “explotado activamente de forma incontrolada” pocas horas después de que se anunció públicamente el jueves y se ofreció un parche.
Apache, el desarrollador afectado. Foto de Apache
La vulnerabilidad, ubicada en el software Apache de código abierto que se utiliza para ejecutar sitios web y otros servicios en Internet, fue informada a la fundación el 24 de noviembre por el gigante tecnológico chino Alibaba, agregó. Tomó dos semanas para desarrollar una solución y ponerla a disposición.
Sin embargo, parchear los sistemas del mundo podría ser una tarea difícil. Si bien la mayoría de las organizaciones y los proveedores de servicios en la nube como Amazon deberían tener la capacidad de actualizar fácilmente sus servidores para la web, el mismo software en la nube Apache generalmente se encuentra en programas de terceros, que a menudo solo pueden actualizar sus propietarios.
Yoran de Tenable dijo que las organizaciones deben asumir que su seguridad se ha visto comprometida y actuar rápidamente.
Los primeros signos evidentes de explotación de la falla se produjeron en Minecraft, un juego en línea muy popular entre los menores y propiedad de Microsoft. La compañía dijo que había distribuido una actualización de software para los usuarios de Minecraft. “Los clientes que aplican la corrección están protegidos”, dijo.
