Expertos en seguridad de todo el mundo se apresuraron el viernes a parchear una de las peores vulnerabilidades informáticas descubiertas en años, una falla crítica en el código de fuente abierta ampliamente utilizado en la industria y el gobierno en servicios en la nube y software empresarial.
«Me costaría mucho pensar en una empresa que no esté en riesgo», dijo Joe Sullivan, director de seguridad de Cloudflare, cuya infraestructura en línea protege los sitios web de actores maliciosos. Incontables millones de servidores lo tienen instalado, y los expertos dijeron que las consecuencias no se conocerían hasta dentro de varios días.
El equipo de respuesta a emergencias informáticas de Nueva Zelanda fue uno de los primeros en informar que la falla en una utilidad en lenguaje Java para servidores Apache utilizada para registrar la actividad del usuario fue ser «explotado activamente en la naturaleza» pocas horas después de que se informara públicamente el jueves y se lanzara un parche.
La vulnerabilidad apodado ‘Log4Shell’, fue calificado con 10 en una escala del uno al 10, el peor posible. Cualquiera con el exploit puede obtener acceso completo s a una máquina sin parchear.
«Internet está en llamas en este momento. La gente está luchando por parchear y hay script kiddies y todo tipo de personas luchando para explotarlo», dijo Adam Meyers, vicepresidente senior de inteligencia de la firma de ciberseguridad Crowdstrike. «En las últimas 12 horas ha sido completamente armado».
La vulnerabilidad en el módulo Apache Software Foundation fue descubierta el 24 de noviembre por el gigante tecnológico chino Alibaba. dijo la fundación. Meyers esperaba que los equipos de respuesta a emergencias informáticas tuvieran un fin de semana ajetreado tratando de identificar todas las máquinas afectadas. La búsqueda se complica por el hecho de que el software afectado puede estar en programas proporcionados por terceros.
La explotación de la falla aparentemente se descubrió por primera vez en Minecraft, un juego en línea muy popular entre los niños y propiedad de Microsoft.
Meyers y el experto en seguridad Marcus Hutchins dijeron Los usuarios de Minecraft ya lo habían estado usando para ejecutar programas. en las computadoras de otros usuarios pegando un mensaje corto en un cuadro de chat.
Microsoft dijo que había emitido una actualización de software para los usuarios de Minecraft y que «los clientes que aplican la solución están protegidos».
Los investigadores informaron haber encontrado evidencia de que la vulnerabilidad podría explotarse en servidores administrados por empresas como Apple, Amazon, Twitter y Cloudflare.
Sullivan de Cloudflare dijo que no hay indicios de que los servidores de su empresa se hayan visto comprometidos. Apple, Amazon y Twitter no respondieron de inmediato a las solicitudes de comentarios.
Microsoft corrige la vulnerabilidad de la plataforma en la nube después de una advertencia
© 2021 The Associated Press. Reservados todos los derechos. Este material no puede ser publicado, difundido, reescrito o redistribuido sin permiso.
Citación: Carrera global para parchear un error informático crítico (2021, 10 de diciembre) recuperado el 26 de diciembre de 2021 de https://techxplore.com/news/2021-12-global-patch-critical-bug.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con el propósito de estudio o investigación privada, ninguna parte puede ser reproducida sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.