Descubren un fallo de ‘software’ que podría ser «la vulnerabilidad más crítica de la última década»
Chen Zhaojun, un trabajador del consorcio privado chino Alibaba, ha detectado un fallo de ‘software’, bautizado como ‘Log4Shell’, en Apache Log4j, una herramienta de registro de código abierto usada por una gran cantidad de aplicaciones, páginas web y servicios, informó este viernes TechCrunch.
Se descubrió por primera vez en el videojuego Minecraft, propiedad de Microsoft, si bien la empresa de ciberseguridad LunaSec advierte que «muchos servicios» son vulnerables porque la herramienta afectada está en casi todas las principales aplicaciones y servidores empresariales basados en el lenguaje de programación Java.
Entre las empresas cuyos servidores se ha confirmado que son vulnerables a este problema figuran Apple, Amazon, Cloudflare, Twitter, Steam, Baidu, NetEase, Tencent y Elastic, aunque se cree que las compañías y organizaciones afectadas podrían ser miles.
¿Qué implicaciones tiene?
Robert Joyce, director de ciberseguridad de la Agencia de Seguridad Nacional de EE.UU. (NSA, por sus siglas en inglés), opina que se trata de una «amenaza significativa» y confirmó que GHIDRA, herramienta de ingeniería inversa de código abierto y gratuita desarrollada por ellos, también se ha visto afectada.
El equipo de Respuesta a Emergencias Informáticas de Nueva Zelanda (CERT, por sus siglas en inglés), el CERT de Deutsche Telekom y el servicio de monitoreo web Greynoise han advertido que los ‘hackers’ están buscando de manera activa servidores vulnerables al fallo de ‘software’.
Amit Yoran, director ejecutivo de la empresa de ciberseguridad Tenable, aseguró que se trata de «la mayor y más crítica vulnerabilidad de la última década», sin descartar que sea, posiblemente, la peor de la historia de la informática moderna.
«Internet está en llamas»
«Internet está en llamas ahora mismo», asegura Adam Meyers, vicepresidente sénior de inteligencia de la firma de ciberseguridad Crowdstrike, que advierte que los piratas informáticos ya han desarrollado y distribuido herramientas para explotar la vulnerabilidad.
Por su parte, Kayla Underkoffler, tecnóloga sénior de seguridad en HackerOne, considera que esta situación pone de manifiesto la «amenaza que representa el ‘software’ de código abierto como una porción creciente de las superficies de ataque críticas de la cadena de suministro global«.
La Apache Software Foundation ha lanzado ya una actualización de seguridad de emergencia para solucionar la vulnerabilidad de día cero en Log4j, y también ha llevado a cabo una serie de medidas de mitigación para aquellos que no pueden instalar la actualización de inmediato.
¿Te ha parecido interesante? ¡Déjanos tu opinión en los comentarios!