Detectada en una utilidad ampliamente utilizada llamada Log4j, la falla permite a los atacantes basados en Internet tomar fácilmente el control de todo, desde los sistemas de control industrial hasta los servidores web y la electrónica de consumo. Simplemente identificar qué sistemas utilizan la utilidad es un desafío; a menudo está oculto bajo capas de otro software.
Log4j es una biblioteca Java que se especializa en registro y es que es tan peligrosa la vulnerabilidad que la principal funcionaria de defensa de ciberseguridad de EE. UU., Jen Easterly, consideró la falla “una de las más graves que he visto en toda mi carrera, si no la más grave”. Revelado públicamente el jueves pasado, siendo una ganga para ciberdelincuentes y espías digitales porque permite una entrada fácil y sin contraseña.
El software afectado, escrito en el lenguaje de programación Java, registra la actividad del usuario en las computadoras. Desarrollado y mantenido por un puñado de voluntarios bajo los auspicios de la Apache Software Foundation de código abierto, es extremadamente popular entre los desarrolladores de software comercial. Se ejecuta en muchas plataformas (Windows, Linux, macOS de Apple) y funciona con todo, desde cámaras web hasta dispositivos médicos, según la firma de seguridad Bitdefender.
Goldstein dijo a los reporteros en una conferencia telefónica el martes por la noche que CISA actualizará un inventario de software parcheado a medida que haya correcciones disponibles. Log4j a menudo está integrado en programas de terceros que sus propietarios deben actualizar. “Esperamos que la remediación lleve algún tiempo”, por lo que es muy importante que cuentes con un buen Firewall quienes tengan redes públicas.
