Se dice que varios servicios populares, incluidos Apple iCloud, Twitter, Cloudflare, Minecraft y Steam, son vulnerables a un exploit de día cero que afecta a una popular biblioteca de registros de Java.

La vulnerabilidad, denominada “Log4Shell” por los investigadores de LunaSec y atribuida a Chen Zhaojun de Alibaba, fue descubierta en Apache Log4j, una utilidad de registro de código abierto utilizada en una variedad de aplicaciones, sitios web y servicios. Log4Shell se descubrió por primera vez en Minecraft, propiedad de Microsoft, aunque LunaSec advierte que “muchos servicios” son vulnerables a este exploit debido a la presencia “omnipresente” de Log4j en casi todas las principales aplicaciones y servidores del mundo. En una publicación de blog, la compañía de ciberseguridad advirtió que cualquiera que use Apache Struts es “probablemente vulnerable”.

Las empresas cuyos servidores se han encontrado vulnerables al ataque Log4Shell hasta ahora incluyen a Apple, Amazon, Cloudflare, Twitter, Steam, Baidu, NetEase, Tencent y Elastic, aunque es probable que haya cientos, si no miles, de ‘otras organizaciones afectadas. . Ninguna de las empresas afectadas por la infracción ha respondido aún a nuestra solicitud de comentarios.

LEER  Cómo un fundador construyó una startup en torno a la compasión y la atención habilitada por IA - TechCrunch

Robert Joyce, director de seguridad cibernética de la NSA, confirmó que GHIDRA, Una herramienta de ingeniería inversa de código abierto y gratuita desarrollada por la agencia, también se ve afectada: “La vulnerabilidad Log4j es una amenaza significativa para la explotación debido a su amplia inclusión en marcos de software, incluso GHIDRA de la NSA”, declaró.

Equipo de respuesta ante emergencias informáticas de Nueva Zelanda (CERT), Deutsche Telekom CERT, y el Ruido gris Todos los servicios de monitoreo web advirtieron que los atacantes están buscando activamente servidores vulnerables a los ataques Log4Shell. Según este último, según este último, cien hosts distintos escanear Internet para encontrar formas de aprovechar la vulnerabilidad Log4j.

Kayla Underkoffler, tecnóloga de seguridad senior de HackerOne, dijo a TechCrunch que el día cero destaca la “amenaza que presenta el software de código abierto como una parte creciente de las superficies de ataque críticas de la cadena de suministro del mundo”.

“El software de código abierto está detrás de casi todas las infraestructuras digitales modernas, con una aplicación promedio que utiliza 528 componentes de código abierto diferentes”, dijo Underkoffler. “La mayoría de las vulnerabilidades de código abierto de alto riesgo descubiertas en 2020 también han estado presentes en el código durante más de dos años, y la mayoría de las organizaciones carecen de control directo sobre el software de código abierto dentro de las cadenas de suministro para corregir fácilmente estas debilidades. Asegurar este software a menudo mal financiado es imperativo para cualquier organización que dependa de él.

LEER  6 consejos para construir la cadena de suministro global de su startup - TechCrunch

Apache Software Foundation lanzó hoy una actualización de seguridad de emergencia para abordar la vulnerabilidad de día cero en Log4j, junto con medidas de mitigación para aquellos que no pueden actualizar de inmediato. El desarrollador de juegos Mojang Studios también lanzó una actualización de seguridad de emergencia de Minecraft para corregir el error.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )