PyE
BOSTON: Una vulnerabilidad crítica en una herramienta de software ampliamente utilizada, una que se explotó rápidamente en el juego en línea Minecraft, está emergiendo rápidamente como una gran amenaza para las organizaciones de todo el mundo.
«Internet está en llamas en este momento», dijo Adam Meyers, vicepresidente senior de inteligencia de la firma de ciberseguridad Crowdstrike.
«La gente está luchando por parchear», dijo, «y todo tipo de gente luchando por explotarlo». Dijo el viernes (10 de diciembre) por la mañana que en las 12 horas transcurridas desde que se reveló la existencia del error que había sido «completamente armado», lo que significa que los malhechores habían desarrollado y distribuido herramientas para explotarlo.
La falla puede ser la peor vulnerabilidad informática descubierta en años. Fue descubierto en una utilidad que es omnipresente en los servidores en la nube y el software empresarial que se usa en la industria y el gobierno. A menos que se solucione, otorga a los delincuentes, espías y principiantes en programación un fácil acceso a las redes internas donde pueden saquear datos valiosos, plantar malware, borrar información crucial y mucho más.
“Me costaría mucho pensar en una empresa que no esté en riesgo”, dijo Joe Sullivan, director de seguridad de Cloudflare, cuya infraestructura en línea protege los sitios web de actores maliciosos. Incontables millones de servidores lo tienen instalado, y los expertos dijeron que las consecuencias no se conocerían hasta dentro de varios días.
Amit Yoran, director ejecutivo de la firma de ciberseguridad Tenable, la calificó como “la vulnerabilidad más grande y más crítica de la última década”, y posiblemente la más grande en la historia de la informática moderna.
La vulnerabilidad, denominada «Log4Shell», fue calificada como 10 en una escala de uno a 10 por la Apache Software Foundation, que supervisa el desarrollo del software. Cualquiera con el exploit puede obtener acceso completo a una computadora sin parches que usa el software,
Los expertos dijeron que la extrema facilidad con la que la vulnerabilidad permite que un atacante acceda a un servidor web, sin necesidad de contraseña, es lo que lo hace tan peligroso.
El equipo de respuesta a emergencias informáticas de Nueva Zelanda fue uno de los primeros en informar que la falla estaba siendo «explotada activamente en la naturaleza» pocas horas después de que se informara públicamente el jueves y se publicara un parche.
La vulnerabilidad, ubicada en el software Apache de código abierto utilizado para ejecutar sitios web y otros servicios web, fue informada a la fundación el 24 de noviembre por el gigante tecnológico chino Alibaba, dijo. Tomó dos semanas desarrollar y lanzar una solución.
Pero parchear sistemas en todo el mundo podría ser una tarea complicada. Si bien la mayoría de las organizaciones y los proveedores de la nube, como Amazon, deberían poder actualizar sus servidores web fácilmente, el mismo software Apache también suele estar integrado en programas de terceros, que a menudo solo pueden actualizar sus propietarios.
Yoran, de Tenable, dijo que las organizaciones deben asumir que han sido comprometidas y actuar rápidamente.
Los primeros signos obvios de la explotación de la falla aparecieron en Minecraft, un juego en línea muy popular entre los niños y propiedad de Microsoft. Meyers y el experto en seguridad Marcus Hutchins dijeron que los usuarios de Minecraft ya lo estaban usando para ejecutar programas en las computadoras de otros usuarios al pegar un mensaje corto en un cuadro de chat.
Microsoft dijo que había emitido una actualización de software para los usuarios de Minecraft. «Los clientes que aplican la solución están protegidos», dijo.
Los investigadores informaron haber encontrado evidencia de que la vulnerabilidad podría explotarse en servidores administrados por empresas como Apple, Amazon, Twitter y Cloudflare.
Sullivan de Cloudflare dijo que no hay indicios de que los servidores de su empresa se hayan visto comprometidos. Apple, Amazon y Twitter no respondieron de inmediato a las solicitudes de comentarios.
.
Fuente
