PyE
SAN FRANCISCO: Algunas de las empresas de tecnología más grandes del mundo todavía luchan por hacer que sus productos estén a salvo de una enorme vulnerabilidad en el software de registro común una semana después de que los piratas informáticos comenzaran a intentar explotarlo.
Cisco Systems, IBM, VMware y Splunk se encontraban entre las empresas con múltiples piezas de software defectuoso que los clientes utilizaron el jueves sin parches disponibles para la vulnerabilidad Log4j, según un recuento publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.
El software de registro es un software ubicuo que rastrea actividades como visitas al sitio, clics y chats.
Los esfuerzos de la compañía subrayan el amplio alcance de la falla encontrada dentro del software de código abierto, descrita por funcionarios e investigadores como la peor falla que han visto en años.
Un investigador de la empresa de tecnología china Alibaba advirtió a la Apache Software Foundation sin fines de lucro a principios de este mes que Log4j no solo realizaría un seguimiento de los chats o clics, sino que también seguiría enlaces a sitios externos, lo que podría permitir que un pirata informático tome el control del servidor.
Apache se apresuró a solucionar el programa. Pero miles de otros programas usan el registrador gratuito, y los responsables de ellos deben preparar y distribuir sus propios parches para evitar adquisiciones. Eso incluye otro software gratuito, que es mantenido por voluntarios, así como programas de empresas grandes y pequeñas, algunas de las cuales tienen ingenieros trabajando las 24 horas.
«Muchos proveedores no tienen parches de seguridad para esta vulnerabilidad», dijo el analista de amenazas de seguridad Kevin Beaumont, quien está ayudando a compilar la lista para CISA. «Los proveedores de software deben tener inventarios mejores y públicos sobre el uso del software de fuente abierta para que sea más fácil evaluar el riesgo, tanto para ellos como para sus clientes».
Algunas empresas, incluida Cisco, actualizan la guía varias veces al día con la confirmación de vulnerabilidades, parches disponibles o estrategias para mitigar o detectar intrusiones cuando ocurren.
Hasta el jueves, la lista CISA incluía unos 20 productos de Cisco que eran vulnerables a ataques sin un parche disponible, incluidos Cisco WebEx Meetings Server y Cisco Umbrella, un producto de seguridad en la nube.
Pero muchos más fueron listados como «bajo investigación» para ver si también eran vulnerables.
«Cisco ha investigado más de 200 productos y aproximadamente 130 no son vulnerables», dijo un portavoz de la empresa. «Muchos productos afectados tienen fechas disponibles para parches de software».
VMware actualiza constantemente un aviso en su sitio con docenas de productos afectados, muchos con vulnerabilidades críticas y «parche pendiente». Algunos de los que no tienen parche tienen soluciones para mitigar los agujeros.
Splunk tiene una lista similar, junto con consejos para buscar piratas informáticos que intentan abusar de la falla.
IBM enumeró productos no vulnerables, pero dijo que «no confirma ni revela vulnerabilidades externamente, ni siquiera a clientes individuales, hasta que haya una solución o remediación disponible».
Aunque Microsoft, Mandiant y CrowdStrike han dicho que ven atacantes de estados-nación de adversarios estadounidenses mejor equipados investigando la falla de Log4j, los funcionarios de CISA dijeron el miércoles que no habían confirmado ningún ataque exitoso respaldado por el gobierno o intrusiones dentro de los equipos del gobierno de EE. UU.
(Reporte de Joseph Menn; Editado por Dan Grebler)
