La actualización de seguridad que debía corregir un fallo de 'software' en Apache Log4j —una herramienta de registro de código abierto usada por una gran cantidad de aplicaciones y páginas web— ha presentado nuevas vulnerabilidades, que los 'hackers' podrían aprovechar para atacar los servidores.
El fallo se descubrió por primera vez la semana pasada en el videojuego Minecraft, propiedad de Microsoft. Una gran cantidad de servicios son vulnerables, ya que la herramienta afectada está en casi todas las principales aplicaciones y servidores empresariales basados en el lenguaje de programación Java.
Amit Yoran, director ejecutivo de la empresa de ciberseguridad Tenable, aseguró que se trata de "la mayor y más crítica vulnerabilidad de la última década", sin descartar que sea, posiblemente, la peor de la historia de la informática moderna.
El problema se arregló con una actualización de seguridad, pero introdujo nuevas vulnerabilidades. La firma de ciberseguridad Praetorian reportó este miércoles que el parche "todavía puede permitir la fuga de datos sensibles en ciertas circunstancias". Asimismo, los desarrolladores de Apache Log4j confirmaron que la corrección era "incompleta en ciertas configuraciones no predeterminadas" y daba a los piratas informáticos la oportunidad de lanzar ataques de denegación de servicio.
El equipo de Respuesta a Emergencias Informáticas de Nueva Zelanda (CERT, por sus siglas en inglés), el CERT de Deutsche Telekom (Alemania) y el servicio de monitoreo web Greynoise habían advertido que los 'hackers' estaban buscando de manera activa servidores vulnerables al fallo de 'software'.
La vulnerabilidad original ha sido explotada activamente por actores maliciosos. Según una estimación citada por el Financial Times, desde el pasado viernes se han lanzado más de 1,2 millones de ataques que utilizan el fallo Log4J.
Los investigadores instan a las organizaciones a instalar lo antes posible el nuevo parche, publicado a principios de esta semana como la versión 2.16.0, para solucionar la vulnerabilidad que se identifica como CVE-2021-45046.