La divulgación en diciembre de una falla de seguridad en una pieza de software de registro ampliamente utilizada conocida como Log4j provocó graves advertencias de los funcionarios estadounidenses de que la falla podría abrir la puerta a un aumento en los ataques cibernéticos.
Pero las versiones vulnerables de la herramienta gratuita continúan descargándose al menos decenas de miles de veces al día, según una empresa de seguridad cibernética que administra un depósito para este tipo de proyectos de código abierto. Las actualizaciones defectuosas representan más de un tercio de las descargas de Log4j del catálogo, una porción que no parece estar disminuyendo.
Estos desarrolladores “no saben lo que sucede dentro de su software”, dijo Brian Fox, director de tecnología de la empresa de seguridad cibernética Sonatype Inc. que administra el repositorio.
La vulnerabilidad de Log4j desencadenó una carrera mundial para que muchas empresas parchearan sus sistemas informáticos y destacó cuánto de la economía digital depende de herramientas de código abierto. Mantenido por voluntarios, Log4j es un fragmento de código de uso gratuito que ayuda a rastrear la actividad en muchas aplicaciones informáticas.
La empresa del Sr. Fox actúa como administrador de Maven Central, un depósito donde los desarrolladores de software pueden acceder a código fuente abierto como Log4j para incluirlo en sus proyectos. El miércoles por la tarde, la plataforma contó más de 7500 descargas por hora de versiones de Log4j lanzadas antes de que se publicaran sus actualizaciones de seguridad iniciales en diciembre.
Ese total no refleja necesariamente la cantidad de organizaciones afectadas, dijo Fox, ya que los desarrolladores que crean o actualizan su software pueden usar herramientas automatizadas que solicitan repetidamente Log4j. Pero la cifra representa el 36% de todas las solicitudes dirigidas a versiones antiguas de la herramienta durante ese período.
“Esa proporción aún representa lo que está sucediendo en todo el ecosistema en general”, dijo Fox, y agregó que su empresa tiene una visión limitada de quién todavía está usando el software defectuoso. «Eso es bastante terrible».
David Nalley, presidente de Apache Software Foundation, la organización sin fines de lucro que supervisa la distribución de Log4j, dijo que es posible que algunos desarrolladores descarguen versiones antiguas de la herramienta para investigar la seguridad o después de evaluar las amenazas potenciales del software para los sistemas de sus organizaciones. Apache actualizó Log4j en diciembre después de que un investigador de la empresa china de comercio electrónico Alibaba Group Holding Limitado.
informó un error que podría permitir a los atacantes ejecutar código de forma remota y potencialmente apoderarse de los sistemas informáticos a los que apuntan. La organización sin fines de lucro lanzó correcciones posteriores en respuesta a preocupaciones de seguridad adicionales.
Las formas defectuosas del código todavía están disponibles porque muchas otras piezas de software aún dependen de ellas, dijo Nalley, quien compartió estimaciones de las descargas continuas durante una audiencia el martes ante el Comité Senatorial de Seguridad Nacional y Asuntos Gubernamentales.
“Habría una ruptura masiva de una serie de sistemas si desapareciera, porque dependen de ello”, dijo en una entrevista.
Kurt John, director de seguridad de la información del conglomerado industrial Siemens USA, aconsejó a las empresas que necesitan usar tales versiones de Log4j para crear controles de seguridad a su alrededor para detectar actividad sospechosa. Internamente, Siemens USA ha visto casos en los que Log4j se implementó en aplicaciones o redes a las que no se puede acceder desde Internet, por lo que eran menos prioritarios de solucionar, dijo.
El error ha empujado a algunas empresas y gobiernos a monitorear con más cuidado las herramientas de código abierto que actúan como bloques de construcción en su tecnología.
El mes pasado, representantes de empresas como Microsoft corporación
amazon.com C ª.,
manzana C ª.
y la matriz de Facebook, Meta Platforms Inc., se reunieron con funcionarios estadounidenses en la Casa Blanca para discutir cómo frustrar tales amenazas a la seguridad. Además, la administración de Biden dio a conocer la semana pasada un panel de funcionarios federales y expertos del sector privado, inspirado libremente en la Junta Nacional de Seguridad del Transporte, para investigar los principales incidentes cibernéticos. La primera investigación de la Junta de Revisión Cibernética investigará a Log4j.
Aunque la herramienta Log4j actualmente no está vinculada a muchos ciberataques de alto perfil, los expertos en seguridad advierten que la ubicuidad del software sugiere que las amenazas relacionadas podrían durar años. Hablando en la audiencia del Senado el martes, Jen Miller-Osborn, subdirectora de inteligencia de amenazas de la empresa de ciberseguridad Palo Alto Networks C ª.,
dichos atacantes están utilizando botnets controlados de forma remota para buscar puntos débiles.
«El hecho de que [Log4j] ha sido adoptado por botnets también sirve para resaltar que esta vulnerabilidad nunca va a morir”, dijo.
—Kim S. Nash contribuyó a este artículo
Escribir a David Uberti en david.uberti@wsj.com
Copyright ©2022 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8
Fuente: WSJ