top of page
Foto del escritorMario Luis Gutierrez Ayala

Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas'.


Estamos ya tan acostumbrados a hablar de robos de datos, fallos de seguridad y vulnerabilidades que hacerlo otra vez parece trivial, pero no lo es. No al menos en el caso de #Log4Shell, una vulnerabilidad #zeroday que algunos han calificado como la peor de la historia.


El problema reside en #Log4j, una librería #Java que se usa masivamente en sistemas empresariales y aplicaciones web. El problema ha afectado ya a servidores de #Minecraft que se hackearon con un sencillo mensaje en el chat de la partida, pero la amenaza es enorme para todo tipo de plataformas. Afortunadamente existe parche, así que los administradores de sistemas deberían corregir el problema cuanto antes.


#Log4j es un entorno de trabajo para registro de actividad en Apache y que permite monitorizar la actividad en una aplicación. El CEO de #Cloudflare, Matthew Prince, avisó hace unos días de que el problema era tan gordo que su empresa trataría de desplegar ciertos mecanismos para mitigarlo incluso para clientes de su servicio gratuito.



Todo lo que tenía que hacer un atacante para explotar el problema es enviar un pedazo de código malicioso: ese código acabará siendo registrado por #Log4j si está en su versión 2.0 o superior, y al hacerlo dará acceso al atacante al sistema, que podrá ejecutar código de forma remotamente.


Free Wortley, CEO de la plataforma de seguridad #LunaSec, explicaba que este es "un fallo de diseño de proporciones catastróficas" en la librería, y el problema se explotó por ejemplo en los servidores de Minecraft.


Varias agencias nacionales de #ciberseguridad publicaron alertas sobre el tema, y los expertos avisaban de lo fácil que era exponer especialmente a grandes empresas que usan esa librería de forma habitual. La propia #Apache Software Foundation calificó la vulnerabilidad —corregida en #Log4j 2.15.0— con un índice de peligrosidad de 10 sobre 10.



la vulnerabilidad es peculiar por muchas cosas pero también por una muy llamativa: esa librería, que como decíamos es crítica para muchas plataformas, estaba siendo mantenida por solo tres desarrolladores... en su tiempo libre.


Esos tres desarrolladores lograron atajar el problema y ya han publicado los parches que permiten a cualquiera administrador de sistema actualizar ese componente de sus sistemas para evitar que el problema pueda afectar a sus servicios.


Los usuarios finales poco pueden hacer salvo que tengan servidores en los que tengan instalados servicios y aplicaciones que puedan usar ese componente. En ese caso, como los administradores de grandes plataformas y servicios, la clave está en actualizar los sistemas para que ese componente se corrija con el parche publicado por esos tres desarrolladores.


Vía | Wired

Más información | CCN-CERT






35 visualizaciones0 comentarios

Entradas recientes

Ver todo

Коментарі


bottom of page