Una vulnerabilidad crítica en el software de registro de código abierto Apache Log4j 2 está impulsando una carrera caótica en el mundo de la ciberseguridad, ha sido nombrada “la mayor vulnerabilidad crítica de la última década”,  Apache Software Foundation (ASF) emitió una actualización de seguridad de emergencia mientras los malos actores buscaban servidores vulnerables.

Log4j 2, desarrollado por ASF, es un paquete Java ampliamente utilizado que permite iniciar sesión en una variedad de aplicaciones populares. El error, registrado como CVE-2021-44228, es una vulnerabilidad de día cero que permite la ejecución de código remoto no autenticado (RCE) que podría dar a los ataques el control de los sistemas en los que se ejecuta el software.

La vulnerabilidad, que se ha denominado Log4Shell, ha recibido una puntuación de gravedad de 10/10, la puntuación más alta posible. La Fundación Apache lanzó un parche de emergencia como parte de la versión 2.15.0 de Log4j 2 que corrige la vulnerabilidad de RCE.

El software es utilizado tanto por aplicaciones empresariales como por servicios basados ​​en la nube, y la vulnerabilidad podría tener amplios efectos en las empresas, según los profesionales de la seguridad.

Se comunicó que muchos servicios son vulnerables al exploit (control total del servidor), incluidos los servicios en la nube como Apple iCloud y Steam y aplicaciones como Minecraft. Proyectos de código abierto como Paper, el servidor utilizado por Minecraft, han comenzado a parchear Log4j 2. También se ha descubierto que los servidores utilizados por empresas como Twitter, Cloudflare, Apple y Tencent son vulnerables a Log4Shell.

Varios otros proyectos de código abierto, como ElasticSearch, Redis y Elastic Logstash, también utilizan Log4j.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) emitió una alerta instando a los usuarios a aplicar el parche para actualizar el software o utilizar los pasos de mitigación recomendados por la ASF.

Por lo que se recomienda seguir este protocolo para evitar el ataque.