[ad_1]
rap«>Una falla en el software de uso común ha dejado a millones de servidores web vulnerables a la explotación por parte de piratas informáticos
La tecnologia
13 de diciembre de 2021
Los piratas informáticos podrían usar el error Log4j para acceder a datos seguros
Shutterstock / Tammy54
Se ha descubierto una importante falla de seguridad en el software llamado Log4j, que utilizan millones de servidores web. El error los deja vulnerables a los ataques, y los equipos de todo el mundo se esfuerzan por reparar los sistemas afectados antes de que los piratas informáticos puedan explotarlos. «Internet está en llamas en este momento», dijo Adam Meyers de la firma de seguridad Crowdstrike.
Qué pasó?
El problema con Log4j se notó por primera vez en los juegos Minecraft, pero rápidamente se hizo evidente que su impacto fue mucho mayor. El software se utiliza en millones de aplicaciones web, incluido iCloud de Apple. Los ataques que explotan el error, conocidos como ataques Log4Shell, han estado ocurriendo desde el 9 de diciembre, según Crowdstrike.
La directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., Jen Easterly, dijo que la brecha de seguridad representa un «riesgo grave» para Internet. «Esta vulnerabilidad, que es ampliamente explotada por un conjunto creciente de actores de amenazas, presenta un desafío urgente para los defensores de la red dado su amplio uso», dijo.
¿Qué es exactamente Log4j?
Casi cualquier software que utilice mantendrá registros de errores y otros eventos importantes, llamados registros. En lugar de crear su propio sistema de registro, muchos desarrolladores de software utilizan Log4j de código abierto, lo que lo convierte en uno de los paquetes de registro más comunes del mundo.
No tener que reinventar la rueda es una gran ventaja, pero la popularidad de Log4j se ha convertido en un dolor de cabeza para la seguridad global. La falla afecta a millones de software, que se ejecutan en millones de máquinas, con las que todos interactuamos.
¿Qué permite la falla a los piratas informáticos?
Los atacantes pueden engañar a Log4j para que ejecute un código malicioso obligándolo a almacenar una entrada de registro que contenga una cadena de texto en particular. La forma en que los piratas informáticos hacen esto varía de un programa a otro, pero en Minecraftse informó que esto se hizo a través de cajas de chat. Se crea una entrada de registro para archivar cada uno de estos mensajes, por lo que si la cadena de texto peligrosa se envía de un usuario a otro, se plantará en un registro.
En otro caso, se descubrió que los servidores de Apple creaban un entrada de registro que registra el nombre de pila a un iPhone por su propietario en la configuración. De cualquier manera, una vez que se realiza este truco, el atacante puede ejecutar cualquier código que desee en el servidor, como robar o eliminar datos confidenciales.
¿Por qué no se encontró este defecto antes?
El código que compone el software de código abierto puede ser visto, ejecutado e incluso, con controles y equilibrios, modificado por cualquier persona. Esta transparencia puede hacer que el software sea más robusto y seguro, ya que muchos pares de ojos están trabajando en él. Pero no se puede garantizar que ningún software sea seguro.
El problema que permite el ataque Log4Shell ha estado en el código durante algún tiempo, pero un investigador de seguridad de la empresa china de TI Alibaba Cloud no lo reconoció hasta fines del mes pasado. Inmediatamente informó el problema a Apache Software Foundation, la organización estadounidense sin fines de lucro que supervisa cientos de proyectos de código abierto, incluido Log4j, para darles tiempo a solucionar el problema antes de que se revelara públicamente.
Esta divulgación responsable es una práctica estándar para errores como este, aunque algunos cazadores de errores también venden estas vulnerabilidades a los piratas informáticos, lo que les permite usarlas en silencio durante meses o incluso años, incluso en software de espionaje vendido a gobiernos de todo el mundo.
¿Que pasa ahora?
Apache le dio a la vulnerabilidad una calificación de «crítica» y se apresuró a desarrollar una solución. Hoy, cientos de miles de equipos de TI están trabajando para actualizar Log4j a la versión 2.15.0, que fue lanzado antes de que la vulnerabilidad se hiciera pública y principalmente resuelve el problema. Los equipos también deberán examinar su código en busca de posibles vulnerabilidades y monitorear los intentos de piratería.
Si bien las soluciones para problemas como este pueden aparecer muy rápidamente, especialmente cuando se revelan de manera responsable al equipo de desarrollo, se necesita tiempo para que todos las apliquen. Las computadoras y los servicios web ahora son tan complejos y tan estratificados con docenas de niveles de abstracción apilados, código que se ejecuta sobre código, sobre código, que actualizar todos estos servicios podría llevar meses. .
Y siempre habrá quienes nunca lo harán. Muchos rincones polvorientos de Internet dependen de hardware antiguo con código obsoleto y vulnerable, algo que los piratas informáticos pueden explotar fácilmente.
Obtenga más información sobre estos temas:
[ad_2]
Deja un comentario