El parche que se suponía que iba a corregir la «vulnerabilidad de Internet más crítica de la última década» tiene una falla de seguridad y los piratas informáticos podrían usarlo.
Publicado:
16 dic 2021 14:35 GMT
Los investigadores instan a las organizaciones a instalar la nueva actualización de software para Apache Log4j, una herramienta ampliamente utilizada en aplicaciones y páginas web, lo antes posible.
La actualización de seguridad que supuestamente corregiría una falla de ‘software’ en Apache Log4j, una herramienta de registro de código abierto utilizada por una gran cantidad de aplicaciones y páginas web, ha introducido nuevas vulnerabilidades que los ‘piratas informáticos’ podrían aprovechar para atacar servidores.
La falla se descubrió por primera vez la semana pasada en el videojuego Minecraft, propiedad de Microsoft. Una gran cantidad de servicios son vulnerables, ya que la herramienta afectada se encuentra en casi todas las principales aplicaciones comerciales y servidores basados en el lenguaje de programación Java.
Amit Yoran, director ejecutivo de la empresa de ciberseguridad Tenable, seguro que es «la mayor y más crítica vulnerabilidad de la última década», sin descartar que posiblemente sea la peor de la historia de la informática moderna.
El problema se solucionó con una actualización de seguridad, pero introdujo nuevas vulnerabilidades. Firma de ciberseguridad Praetorian informó este miércoles que el parche «aún puede permitir la filtración de datos sensibles en determinadas circunstancias». Además, los desarrolladores de Apache Log4j confirmado que la corrección estaba «incompleta en ciertas configuraciones no predeterminadas» y les dio a los piratas la oportunidad de lanzar ataques de denegación de servicio.
El equipo de Respuesta a Emergencias Informáticas de Nueva Zelanda (CERT), el CERT de Deutsche Telekom (Alemania) y el servicio de monitoreo web Greynoise habían advertido que los piratas informáticos buscaban activamente servidores vulnerables. Fallo del ‘software’.
La vulnerabilidad original ha sido explotada activamente por actores malintencionados. De acuerdo a un estimar Citado por el Financial Times, desde el viernes pasado se han lanzado más de 1,2 millones de ataques utilizando la falla Log4J.
Los investigadores instan a las organizaciones a instalar el nuevo parche, lanzado a principios de esta semana como versión 2.16.0, lo antes posible para abordar la vulnerabilidad que se identifica como CVE-2021-45046.