Una segunda vulnerabilidad de Log4j obliga a actualizar

En los últimos días hemos sido testigos de una nueva y grave vulnerabilidad que afecta a la popular librería de registro de Java Log4j. En este artículo nos hacemos eco de cómo los piratas informáticos están comenzando a explotar una segunda vulnerabilidad de Log4j. Una vez más, se hace imprescindible que los usuarios actualicen los sistemas y puedan corregir lo antes posible estas vulnerabilidades para evitar así ser víctimas de ataques.

Empiezan a explotar un segundo fallo de Log4j

Cloudflare ha alertado de que los ciberdelincuentes están empezando a explotar una segunda vulnerabilidad de Log4j. Indican que es imprescindible que los usuarios cuenten con la última versión 2.16.0, ya que de lo contrario serían vulnerables. Hay que tener en cuenta que la versión 2.15.0 llegó para corregir el fallo inicial, pero ya tampoco es suficiente.

Esta nueva vulnerabilidad ha sido registrada como CVE-2021-45046. Un hipotético atacante podría llevar a cabo denegación de servicio. Este nuevo problema llega después de que la solución original para la vulnerabilidad Log4Shell estuviera incompleta en ciertas configuraciones no predeterminadas.

Pero el problema parece que no queda ahí. Según indican los investigadores de seguridad de Praetorian, existe una tercera vulnerabilidad de Log4j independiente. Este fallo, que tampoco lo corrige la versión 2.15.0, puede permitir la filtración de datos confidenciales. No han dado por el momento más datos técnicos para evitar su explotación.

Estos fallos que mencionamos pueden poner en riesgo a industrias de todo tipo a nivel mundial. Se trata de una librería de registro ampliamente utilizada, por lo que son muchos los que pueden verse afectados.

Actualizar, la mejor solución para estar protegidos

Una vez más, instalar la última versión es la mejor solución posible para estar protegidos frente a esta nueva vulnerabilidad de Log4j. Se trata de la segunda que vemos en cuestión de días y, como hemos explicado, hace que el anterior parche lanzado, la versión 2.15.0, no sea efectiva para corregir este nuevo problema.

Entonces, ¿Qué podemos hacer para estar protegidos? No queda más remedio que volver a actualizar, esta vez a la versión 2.16.0. Esto nos protegerá de este segundo ataque que puede provocar denegación de servicio y comprometer el buen funcionamiento.

No obstante, como hemos visto puede haber una tercera vulnerabilidad que empiece a ser explotada. Va a ser necesario volver a instalar próximamente una nueva actualización que, una vez más, corrija esta vulnerabilidad.

En definitiva, Log4j vuelve a estar presente en una nueva vulnerabilidad. Se trata de un fallo que está siendo explotado activamente, pero para el que ya existe parche con la actualización 2.16.0 que todos los usuarios deberían instalar cuanto antes y evitar así problemas.

Anteriormente publicamos un tutorial donde explicamos por qué es esencial actualizar los equipos. Hablamos de todos los puntos imprescindibles de contar con las últimas versiones y de qué puede ocurrir si en un momento dado nuestro sistema está desactualizado y aparece un fallo de seguridad. Esto lo hemos podido comprobar con la vulnerabilidad de la que hemos tratado en este artículo y que puede ser explotada.

El artículo Una segunda vulnerabilidad de Log4j obliga a actualizar se publicó en RedesZone.