INFORMATICO

Una grave vulnerabilidad afecta a usuarios de Apple, Minecraft, Twitter, Steam y otros servicios online

Una vulnerabilidad crítica en una herramienta para iniciar sesión en distintos servicios está causando un dolor de cabeza a miles de aplicaciones y empresas de todo el mundo, entre ellas Apple, Twitter, Cloudfare, Minecraft y Steam. El fallo, conocido como Log4Shell, afecta a la biblioteca de registro de código abierto Log4j, desarrollada por Apache Foundation.

El problema fue detectado el pasado 9 de diciembre por el ingeniero Chen Zhaojun de Alibaba Cloud Security Team. La falla está en una herramienta de código abierto empleada por gobiernos e industrias. Los ciberdelincuentes están aprovechándose de la falla y las consecuencias no se conocerán durante varios años, según los expertos.

“Internet está en llamas en este momento”, opinó el vicepresidente sénior de inteligencia en la firma de seguridad Crowdstrike, Adam Meyer. “La gente se está apresurando para encontrar un parche”, afirmó, “y todo tipo de personas se han apresurado a tratar de aprovechar” la vulnerabilidad.

En declaraciones hechas el viernes en la mañana, Meyer informó que 12 horas después de que se anunciara la existencia de la falla, ya fue «utilizada totalmente como arma”, lo que significa que los ciberdelincuentes han desarrollado y distribuido medios para aprovecharla.

La falla podría ser la peor vulnerabilidad cibernética que se haya descubierto en años. Fue descubierta en una herramienta de código abierto para registrarse y que es omnipresente en servidores de nube y en el software usado en oficinas del gobierno y empresas. A menos de que se corrija, el problema permite a los ciberdelincuentes, espías y novatos en programación acceder fácilmente a redes internas donde pueden saquear información valiosa, sembrar malware, borrar información crucial y mucho más.

El peligro que conlleva

Varios servicios se ven afectados por el hackeo. Foto Reuters

Varios servicios se ven afectados por el hackeo. Foto Reuters

«Creo difícil pensar que haya compañías que no peligren», dijo Joe Sullivan, director de seguridad de Cloudflare, cuya infraestructura en línea protege a los sitios web de actores maliciosos. Millones de servidores lo tienen instalado.

El director general de la firma de ciberseguridad Tenable, Amit Yoran, la describió como «la vulnerabilidad individual más grande y más crítica de la última década» y posiblemente la mayor en la historia moderna de la computación.

La vulnerabilidad, llamada Log4Shell, fue calificada con un 10 en una escala de uno al 10 por la Apache Software Foundation, que supervisa el desarrollo del software. Cualquiera que tenga el «exploit” puede acceder totalmente a una computadora sin parches que utilice el software.

Según los expertos, la extrema facilidad con que la vulnerabilidad permite a un intruso acceder a un servidor de la web _sin clave de acceso_ es lo que la vuelve demasiado peligrosa. El equipo de respuesta a emergencias informáticas de Nueva Zelanda estuvo entre los primeros en informar que la falla estaba siendo «aprovechada activamente en forma descontrolada” apenas horas después de que fuera anunciada públicamente el jueves y que se ofreciera un parche.

Apache, la desarrolladora afectada. Foto Apache

Apache, la desarrolladora afectada. Foto Apache

La vulnerabilidad, localizada en el software Apache de código abierto, empleado para ejecutar sitios web y otros servicios en internet, fue denunciado ante la fundación el 24 de noviembre por el gigante tecnológico chino Alibaba, agregó. Se necesitaron dos semanas para desarrollar una solución y ponerla disponible.

Sin embargo, parchar sistemas en el mundo podría ser una tarea complicada. Aunque la mayoría de organizaciones y proveedores de servicios en la nube como Amazon deberían tener capacidad para actualizar fácilmente sus servidores para la web, el mismo software de Apache suele encontrarse en programas de terceras partes, que a menudo sólo pueden ser actualizados por sus propietarios.

Yoran, de Tenable, dijo que las organizaciones necesitan suponer que su seguridad ha estado comprometida y actuar con rapidez.

Los primeros indicios evidentes del aprovechamiento de la falla ocurrieron en Minecraft, un juego en internet muy popular entre los menores de edad y que es propiedad de Microsoft. La empresa dijo que había distribuido una actualización de software para los usuarios de Minecraft. «Los clientes que apliquen la corrección están protegidos”, aseguró.


Posible Fuente

Publicaciones relacionadas

Deja una respuesta

Botón volver arriba
WhatsApp chat