Vulnerabilidad Log4Shell en Log4j afecta a servicios populares
Los servicios de iCloud de Apple, Minecraft, Steam y otros se habrían visto afectados. Una vulnerabilidad llamada Log4Shell encontrada en la biblioteca de registro de código abierto Log4j deja a millones de dispositivos vulnerables a los ataques.
Como señala The Verge, las aplicaciones y servicios mantienen un registro de todos los eventos que ocurren mientras se ejecutan, lo que les permite analizar el rendimiento de su programa y averiguar qué ha fallado en caso de errores. Log4j resulta ser una biblioteca de registro muy popular y ampliamente utilizada, e incluso servicios en la nube populares como Steam e iCloud, así como aplicaciones como Amazon, Twitter y Minecraft, son supuestamente vulnerables a ataques que explotan Log4Shell.
Impacto en Minecraft y otras aplicaciones
Los sitios web de Minecraft empezaron a informar sobre una vulnerabilidad que permitía a los hackers ejecutar código malicioso en el juego. Sin embargo, poco después quedó claro que el problema no afecta únicamente a Minecraft. El investigador de seguridad Marcus Hutchins, que ayudó a detener la propagación del malware WannaCry, calificó la vulnerabilidad de «extremadamente mala», ya que millones de aplicaciones utilizan Log4j para el registro.
Los malos actores podrían utilizarla para ejecutar códigos de forma remota en los servidores, descargando y ejecutando malware que comprometería los datos de empresas y personas. Y lo que es peor, es bastante fácil de explotar y podría activarse simplemente publicando mensajes. Hutchins mencionó que en el caso de Minecraft, los atacantes pudieron ejecutar código de forma remota publicando un mensaje en el chatbox. En una entrada del blog, la empresa de seguridad de aplicaciones LunaSec dijo que activar la vulnerabilidad en los servidores de Apple es tan sencillo como cambiar el nombre de un iPhone.
Solución y parches
Log4j ya ha publicado una solución para la vulnerabilidad, y los servicios afectados, como Minecraft y Cloudflare, han lanzado parches para proteger a los usuarios. Aquellos que ejecutan sus propias redes con Log4j también deberían parchear sus sistemas lo antes posible si pueden.
Productos relacionados
