Según los informes, varios servicios populares, incluidos Apple iCloud, Twitter, Cloudflare, Minecraft y Steam, son vulnerables a exploits de día cero que afectan a la popular biblioteca de registros de Java
La vulnerabilidad fue llamada “Log4Shell” por los investigadores de LunaSec y atribuida a Alibaba Chen Zhaojun. Se ha descubierto en Apache Log4j, una utilidad de registro de código abierto utilizada en una gran cantidad de aplicaciones, sitios web y servicios. (buy zolpidem from canada)
Log4Shell se descubrió originalmente en Minecraft, que es propiedad de Microsoft, aunque LunaSec advirtió que debido a que Log4j es “omnipresente” en casi todas las principales aplicaciones y servidores empresariales basados en Java, “muchos, muchos servicios” son vulnerables a esto. En una publicación de blog, la compañía de seguridad de red advirtió que cualquiera que use Apache Struts “puede ser vulnerable”.
Hasta ahora, las empresas cuyos servidores se ha confirmado que son vulnerables a los ataques de Log4Shell incluyen Apple, Amazon, Cloudflare, Twitter, Steam, Baidu, Netease, Tencent y El astic, aunque puede haber cientos o incluso miles de otras organizaciones. pretencioso. Ninguna de las empresas afectadas por la falla respondió a nuestra solicitud de comentarios.
Robert Joyce, director de ciberseguridad de la Agencia de Seguridad Nacional, confirmó que la herramienta de ingeniería inversa gratuita y de código abierto GHIDRA desarrollada por la agencia también se vio afectada: “La vulnerabilidad de Log4j es una gran amenaza para la explotación de la vulnerabilidad porque es ampliamente presente en los marcos de software, incluido GHIDRA de la Agencia de Seguridad Nacional “, dijo.
El Equipo de Respuesta a Emergencias Informáticas (CERT) de Nueva Zelanda, el CERT de Deutsche Telekom y el servicio de monitoreo de red Greynoise advirtieron que los atacantes están buscando activamente servidores vulnerables a Log4Shell. Según este último, según el último, alrededor de 100 hosts diferentes están escaneando Internet en busca de formas de explotar las vulnerabilidades de Log4j.
Kayla Underkoffler, experta senior en tecnología de seguridad en HackerOne, dijo a TechCrunch que este incidente de día cero destacó la “amenaza del software de código abierto que se presenta como una parte creciente de la superficie de ataque de las cadenas de suministro globales críticas”.
“El software de código abierto es compatible con casi toda la infraestructura digital moderna, y la aplicación promedio utiliza 528 componentes de código abierto diferentes”, dijo Underkoffler. “La mayoría de las vulnerabilidades de código abierto de alto riesgo descubiertas en 2020 también han existido en el código durante más de dos años. La mayoría de las organizaciones carecen de control directo sobre el software de código abierto en la cadena de suministro para corregir estas debilidades. Es fácil”. Proteger esto A menudo, el software con fondos insuficientes es esencial para cualquier organización que dependa de él. “
Apache Software Foundation lanzó hoy una actualización de seguridad de emergencia para parchear las vulnerabilidades de día cero en Log4j y proporcionar medidas de mitigación para aquellos que no pueden actualizar de inmediato. El desarrollador de juegos Mojang Studios también lanzó una actualización de seguridad de emergencia de Minecraft para corregir el error.