Lo que empezó hace unas semanas como una vulnerabilidad en el famoso juego Minecraft se ha convertido en una pesadilla para toda la industria de la informática.
Hace unas semanas salió a la luz que ciertos usuarios del conocido juego estaban haciendo trampas. El problema era que algunos atacantes estaban inyectando código Java en el juego. Investigando se dieron cuenta de que el problema estaba en la famosa librería de Apache, Log4j. Esta herramienta quizás no necesite mucha presentación para los desarrolladores, pero para el resto de los mortales es una librería que permite escribir logs (registros) para aplicaciones basadas en Java.
Log4j está incorporada en centenares de productos de muchas marcas de toda la industria de la informática, y ha expuesto millares de sistemas a una vulnerabilidad que está siendo explotada, y por la cual un atacante podría hacerse con el control de la máquina que ofrece el servicio afectado. El fallo ha sido catalogado como CVE-2021-44228.
La firma de seguridad LunaSec ha comentado en un reciente análisis que se han visto expuestos servicios como iCloud y Steam. En el mismo informe han indicado que las versiones de Java superiores a 6u211, 7u201, 8u191 y 11.0.1 no están afectadas. La firma concluye en su análisis que explotar esta vulnerabilidad es fácil, y por tanto merece atención, sobre todo porque es una herramienta muy extendida.
En la industria ya se han comenzado a publicar los primeros boletines informando a los clientes de este problema, como es el caso de Oracle que informa que las versiones afectadas son todas las Log4j 2.14.1 o inferiores. Microsoft por su parte ya ha sacado un parche para Minecraft que corrige el problema. Apache Software Foundation está al tanto del problema, pero de momento no han publicado ninguna declaración oficial.
Tecnógrafos 
Un comentario sobre “Vulnerabilidad 0-Day en Apache Log4j”
Los comentarios están cerrados.