Alertan sobre una vulnerabilidad crítica que afecta a miles de empresas en todo el mundo
Una vulnerabilidad crítica en una herramienta de software altamente utilizada está poniendo en riesgo a miles de aplicaciones y empresas de todo el mundo, entre ellas Apple, Twitter, Cloudfare, Minecraft o Steam. El fallo, conocido como Log4Shell, afecta a la biblioteca de registro de código abierto Log4j, desarrollada por Apache Foundation. Fue descubierto el pasado 9 de diciembre por el ingeniero Chen Zhaojun de Alibaba Cloud Security Team.
Como señalan en un comunicado desde el Centro Criptológico Nacional, una explotación exitosa de la vulnerabilidad, que ya cuenta con parche de seguridad destinado a corregirla, «podría permitir la ejecución remota de código, haciéndose cargo (el cibercriminal) del servidor, por lo que se compromete por completo la confidencialidad e integridad de los datos, así como la disponibilidad del sistema».
Esto permite al ciberdelincuente entrar en los sistemas de empresas o instituciones que utilicen el software y, desde ahí, intentar robar información o infectar con código malicioso.
«La vulnerabilidad es crítica sobre un software ampliamente utilizado, pero ya hay un parche que permite solventar el problema de forma sencilla, lo cual sirve como llamada la atención sobre la importancia de mantener los sistemas actualizados». El fallo, en concreto, permite ejecutar código de forma remota en los servidores que utilizan el software vulnerable y modificar los registros. «Esto una puerta de entrada a realizar acciones maliciosas de una forma sencilla por parte de los atacantes», prosigue Albors.
Los cibercriminales están haciendo actualmente búsquedas en internet con el fin de encontrar servidores aplicaciones y sitios en los que explotar el fallo. El videojuego Minecraft ha lanzado un comunicado en el que invita a los usuarios a cerrar sesión para que se descargue el parche necesario para solventar el problema. Por su parte, la firma chilena Cronup ha apuntado recientemente que ha descubierto que varios cibercriminales están explotando la vulnerabilidad para el minado de criptomonedas. Para acabar con la vulnerabilidad, los sitios que utilicen la biblioteca de registro de código abierto Log4j deben actualizar a la última versión. En concreto, a la Log4j 2.15.0.
*Fuente: ABC.