RT

Parche corregiría vulnerabilidad de Internet más crítica de la década. Tiene un fallo

17/12/2021 - 2:12 pm

Los investigadores instan a las organizaciones a instalar lo antes posible la nueva actualización de software para Apache Log4j, herramienta ampliamente usada en aplicaciones y páginas web.

Ciudad de México, 17 de diciembre (RT).- La actualización de seguridad que debía corregir un fallo de software en Apache Log4j —una herramienta de registro de código abierto usada por una gran cantidad de aplicaciones y páginas web— ha presentado nuevas vulnerabilidades, que los hackers podrían aprovechar para atacar los servidores.

El fallo se descubrió por primera vez la semana pasada en el videojuego Minecraft, propiedad de Microsoft. Una gran cantidad de servicios son vulnerables, ya que la herramienta afectada está en casi todas las principales aplicaciones y servidores empresariales basados en el lenguaje de programación Java.

Los expertos en ciberseguridad dicen que los usuarios del juego en línea Minecraft ya lo han explotado para violar a otros usuarios al pegar un mensaje corto en un cuadro de chat. Foto: Damian Dovarganes, AP

Amit Yoran, director ejecutivo de la empresa de ciberseguridad Tenable, aseguró que se trata de "la mayor y más crítica vulnerabilidad de la última década", sin descartar que sea, posiblemente, la peor de la historia de la informática moderna.

El problema se arregló con una actualización de seguridad, pero introdujo nuevas vulnerabilidades. La firma de ciberseguridad Praetorian reportó este miércoles que el parche "todavía puede permitir la fuga de datos sensibles en ciertas circunstancias". Asimismo, los desarrolladores de Apache Log4j confirmaron que la corrección era "incompleta en ciertas configuraciones no predeterminadas" y daba a los piratas informáticos la oportunidad de lanzar ataques de denegación de servicio.

El equipo de Respuesta a Emergencias Informáticas de Nueva Zelanda (CERT, por sus siglas en inglés), el CERT de Deutsche Telekom (Alemania) y el servicio de monitoreo web Greynoise habían advertido que los hackers estaban buscando de manera activa servidores vulnerables al fallo de software.

La vulnerabilidad original ha sido explotada activamente por actores maliciosos. Según una estimación citada por el Financial Times, desde el pasado viernes se han lanzado más de 1.2 millones de ataques que utilizan el fallo Log4J.

Los investigadores instan a las organizaciones a instalar lo antes posible el nuevo parche, publicado a principios de esta semana como la versión 2.16.0, para solucionar la vulnerabilidad que se identifica como CVE-2021-45046.

ESTE CONTENIDO ES PUBLICADO POR SINEMBARGO CON AUTORIZACIÓN EXPRESA DE RT. VER ORIGINAL AQUÍ. PROHIBIDA SU REPRODUCCIÓN.

en Sinembargo al Aire

Opinión

Opinión en video

más leídas

más leídas