La difusión el pasado jueves de una vulnerabilidad ‘zero day’ que afecta potencialmente a millones de usuarios de cientos de populares servicios online (de Minecraft a iCloud, pasando por Steam, Cloudflare, etcétera) ha obligado administradores de todo el mundo a realizar actualizaciones urgentes para cerrarles las puertas a los cibercriminales.

La vulnerabilidad, conocida como ‘CVE-2021-44228’ o ‘Log4Shell’, fue descubierta por Chen Zhaojun (ingeniero de software de Alibaba), y afecta a Apache Log4j, una biblioteca open source desarrollada por la Apache Foundation que facilita a aplicaciones del ecosistema Java mantener un registro de actividades realizadas en tiempo de ejecución.

Por ahora, la vulnerabilidad se ha usado sobre todo para difundir malware de criptominado, pero dado que permite la ejecución remota de código en varias de las aplicaciones web más populares, sus efectos si éstas no la parchean inmediatamente pueden ser mucho más graves.

De hecho, se le ha asignado un 10/10 en el CVSS (Common Vulnerability Scoring System), un estándar de medición de la gravedad de vulnerabilidades, y en estos días se ha detectado actividad sospechosa (mayoritariamente procedente de la red Tor) escaneando masivamente la presencia de esta vulnerabilidad en servidores web.

🚨⚠️New #0-day vulnerability tracked under "Log4Shell" and CVE-2021-44228 discovered in Apache Log4j 🌶️‼️ We are observing attacks in our honeypot infrastructure coming from the TOR network. Find Mitigation instructions here: https://t.co/tUKJSn8RPF pic.twitter.com/WkAn911rZX

— Deutsche Telekom CERT (@DTCERT) December 10, 2021

Fuente: genbeta.com