Steam, Apple iCloud y Minecraft vulnerables a un exploit de día cero

Varios servicios populares, incluyendo Apple iCloud, Steam, Amazon, Twitter, Cloudflare y Minecraft, están vulnerables a un exploit de día cero ‘ubicuidad’ que ha sido descubierto en el sistema de registro Java ampliamente utilizado llamado ‘log4j2’ desarrollado por la Apache Software Foundation.

La vulnerabilidad, apodada “Log4Shell” por los investigadores de ciberseguridad de LunaSec y acreditada a Chen Zhaojun de Alibaba, resulta en Ejecución Remota de Código (RCE) al registrar una cierta cadena, lo que permite a los atacantes obtener acceso incontrolado a los sistemas informáticos e importar malware poniendo en riesgo a millones de dispositivos.

El 0-day fue tuiteado el 9 de diciembre junto con una prueba de concepto (POC) publicada en GitHub.

Según los investigadores, dado lo ubicuo que es esta biblioteca, el impacto del exploit (control total del servidor) y lo fácil que es de explotar, el impacto de esta vulnerabilidad (CVE-2021-44228) es “bastante severo”.

Investigadores de LunaSec dijeron que cualquier persona que use Apache Struts también es probable que sea vulnerable, añadiendo que vulnerabilidades similares fueron explotadas antes en ataques como la violación de Equifax en 2017. La vulnerabilidad en los servidores de Apple puede ser activada simplemente cambiando el nombre de un iPhone.

El problema afecta a todas las versiones entre 2.0-beta-9 y la versión 2.14.1. Sin embargo, LunaSec señaló que las versiones de Java superiores a 6u211, 7u201, 8u191 y 11.0.1 no están afectadas por la vulnerabilidad.

La vulnerabilidad afecta a todas las versiones entre 2.0-beta-9 y la versión 2.14.1. Muchos proyectos de código abierto como el servidor de Minecraft, Paper, ya han comenzado a parchear su uso de ‘log4j2’. Una lista extensa de respuestas de organizaciones afectadas ha sido listada aquí.

La Apache Software Foundation ha lanzado una actualización de seguridad de emergencia en la versión más reciente de la biblioteca, versión 2.15.0, para parchear la vulnerabilidad de día cero en ‘log4j’ junto con pasos de mitigación para aquellos que no pueden actualizar de inmediato.

“Un atacante que puede controlar los mensajes de registro o los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada”, dijo la Fundación Apache en un aviso. “Desde Log4j 2.15.0, este comportamiento ha sido deshabilitado por defecto.”

Se recomienda a aquellos que usan Log4j en su software que lo actualicen a la última versión 2.15 de inmediato.