¿Quieres recibir notificaciones de alertas?

21°
28 de Marzo,  Jujuy, Argentina
PUBLICIDAD

Usuarios de Apple, Minecraft, Twitter, Steam y otros servicios online en riesgo por una falla

Lunes, 13 de diciembre de 2021 10:43

Una vulnerabilidad crítica en una herramienta para iniciar sesión en distintos servicios está causando un dolor de cabeza a miles de aplicaciones y empresas de todo el mundo, entre ellas Apple, Twitter, Cloudfare, Minecraft y Steam. El fallo, conocido como Log4Shell, afecta a la biblioteca de registro de código abierto Log4j, desarrollada por Apache Foundation.

Alcanzaste el límite de notas gratuitas
inicia sesión o regístrate.
Alcanzaste el límite de notas gratuitas
Nota exclusiva debe suscribirse para poder verla

Una vulnerabilidad crítica en una herramienta para iniciar sesión en distintos servicios está causando un dolor de cabeza a miles de aplicaciones y empresas de todo el mundo, entre ellas Apple, Twitter, Cloudfare, Minecraft y Steam. El fallo, conocido como Log4Shell, afecta a la biblioteca de registro de código abierto Log4j, desarrollada por Apache Foundation.

El problema fue detectado el pasado 9 de diciembre por el ingeniero Chen Zhaojun de Alibaba Cloud Security Team. La falla está en una herramienta de código abierto empleada por gobiernos e industrias. Los ciberdelincuentes están aprovechándose de la falla y las consecuencias no se conocerán durante varios años, según los expertos.

“Internet está en llamas en este momento”, opinó el vicepresidente sénior de inteligencia en la firma de seguridad Crowdstrike, Adam Meyer. “La gente se está apresurando para encontrar un parche”, afirmó, “y todo tipo de personas se han apresurado a tratar de aprovechar” la vulnerabilidad.

En declaraciones hechas el viernes en la mañana, Meyer informó que 12 horas después de que se anunciara la existencia de la falla, ya fue "utilizada totalmente como arma”, lo que significa que los ciberdelincuentes han desarrollado y distribuido medios para aprovecharla.

La falla podría ser la peor vulnerabilidad cibernética que se haya descubierto en años. Fue descubierta en una herramienta de código abierto para registrarse y que es omnipresente en servidores de nube y en el software usado en oficinas del gobierno y empresas. A menos de que se corrija, el problema permite a los ciberdelincuentes, espías y novatos en programación acceder fácilmente a redes internas donde pueden saquear información valiosa, sembrar malware, borrar información crucial y mucho más.

El peligro que conlleva

"Creo difícil pensar que haya compañías que no peligren'', dijo Joe Sullivan, director de seguridad de Cloudflare, cuya infraestructura en línea protege a los sitios web de actores maliciosos. Millones de servidores lo tienen instalado.

El director general de la firma de ciberseguridad Tenable, Amit Yoran, la describió como "la vulnerabilidad individual más grande y más crítica de la última década'' y posiblemente la mayor en la historia moderna de la computación.

La vulnerabilidad, llamada Log4Shell, fue calificada con un 10 en una escala de uno al 10 por la Apache Software Foundation, que supervisa el desarrollo del software. Cualquiera que tenga el "exploit” puede acceder totalmente a una computadora sin parches que utilice el software.

Según los expertos, la extrema facilidad con que la vulnerabilidad permite a un intruso acceder a un servidor de la web _sin clave de acceso_ es lo que la vuelve demasiado peligrosa. El equipo de respuesta a emergencias informáticas de Nueva Zelanda estuvo entre los primeros en informar que la falla estaba siendo "aprovechada activamente en forma descontrolada” apenas horas después de que fuera anunciada públicamente el jueves y que se ofreciera un parche.

La vulnerabilidad, localizada en el software Apache de código abierto, empleado para ejecutar sitios web y otros servicios en internet, fue denunciado ante la fundación el 24 de noviembre por el gigante tecnológico chino Alibaba, agregó. Se necesitaron dos semanas para desarrollar una solución y ponerla disponible.

Sin embargo, parchar sistemas en el mundo podría ser una tarea complicada. Aunque la mayoría de organizaciones y proveedores de servicios en la nube como Amazon deberían tener capacidad para actualizar fácilmente sus servidores para la web, el mismo software de Apache suele encontrarse en programas de terceras partes, que a menudo sólo pueden ser actualizados por sus propietarios.

Yoran, de Tenable, dijo que las organizaciones necesitan suponer que su seguridad ha estado comprometida y actuar con rapidez.

Los primeros indicios evidentes del aprovechamiento de la falla ocurrieron en Minecraft, un juego en internet muy popular entre los menores de edad y que es propiedad de Microsoft. La empresa dijo que había distribuido una actualización de software para los usuarios de Minecraft. "Los clientes que apliquen la corrección están protegidos”, aseguró