El parche Log4j viene con una vulnerabilidad que los piratas informáticos pueden aprovechar

Justo cuando nos enteramos de que los piratas informáticos estatales habían comenzado a estudiar el problema de la vulnerabilidad Log4j que conmocionó al mundo de la ciberseguridad la semana pasada, otros investigadores señalaron un desarrollo inquietante. El hack de Log4j, también conocido como Log4Shell, ya tiene un parche que las empresas pueden implementar. Pero resulta que la solución tiene sus propios problemas de seguridad que los piratas informáticos pueden aprovechar. Como resultado, las empresas que buscan proteger sus sistemas contra los ataques Log4j deben implementar un nuevo parche que corrija la solución anterior.

Como explicamos en nuestra cobertura anterior, el hack de Log4j es increíblemente peligroso. Eso es porque afecta prácticamente a todas las empresas que ofrecen servicios de Internet. La vulnerabilidad de seguridad se encuentra en una utilidad de registro de Java que se usa ampliamente. Desde su divulgación el jueves pasado, los investigadores de ciberseguridad han sido testigos de cientos de miles de intentos de explotarlo. Eso incluye ataques de piratas informáticos respaldados por países que tienen importantes recursos a su disposición en comparación con la mayoría de los piratas informáticos.

Mientras las empresas de Internet no apliquen el parche Log4j existente en sus sistemas, corren un riesgo.

Los piratas informáticos pueden usar el truco Log4j para ingresar a servidores informáticos sin una contraseña. Desde allí, pueden instalar otros programas maliciosos. Estas herramientas les permitirían robar información, realizar ataques de ransomware o extraer criptomonedas. Según los informes iniciales que describen los problemas de seguridad, alguien usó la vulnerabilidad dentro de Minecraft. Microsoft parcheó rápidamente Minecraft y siguió publicando actualizaciones sobre las vulnerabilidades de Log4j en la naturaleza.

La nueva vulnerabilidad del parche Log4j

Los usuarios finales habituales no pueden hacer nada para solucionar el hack de Log4j por sí mismos. No es tan fácil como actualizar el sistema operativo o una aplicación a la última versión más segura. Son las empresas de Internet las que tienen que implementar el último parche Log4j para proteger los servidores.

Pero los investigadores de seguridad ya han descubierto que el parche Log4j 2.15.0 que la Fundación Apache lanzó la semana pasada tiene al menos dos vulnerabilidades que requieren reparación. Las organizaciones que han instalado Log4j 2.15.0 ya deberían instalar la versión 2.16.0 lo más rápido posible, dice el informe.

Según algunos investigadores, el parche Log4j 2.15.0 estaba incompleto «en ciertas configuraciones no predeterminadas». A su vez, esto permite a los atacantes montar campañas contra sistemas parcheados.

Los investigadores de seguridad de Praetorian también detallaron el nuevo problema de seguridad. Explicaron que los piratas informáticos aún podían robar datos de los servidores donde se había implementado el parche Log4j 2.15.0.

«En nuestra investigación, hemos demostrado que 2.15.0 todavía puede permitir la exfiltración de datos confidenciales en determinadas circunstancias», dijeron los investigadores. «Hemos pasado los detalles técnicos del problema a la Fundación Apache, pero mientras tanto, recomendamos encarecidamente que los clientes actualicen a 2.16.0 lo más rápido posible».

Praetorian publicó un ataque de prueba de concepto en el parche Log4j 2.15.0 sin revelar detalles técnicos que lo hacen posible.