35,000 Paquetes de Java afectados por las vulnerabilidades de Log4j
Google dice que más de 35,000 Los paquetes de Java se ven afectados actualmente por las vulnerabilidades de Log4j, "Con consecuencias generalizadas en la industria del software". Esto asciende a más de 8% del repositorio de Maven Central, que se considera el repositorio de paquetes de Java más importante.
las vulnerabilidades, que incluyen el Log4Shell original (log4j) exploit conocido como CVE-2021-44228 y una segunda ejecución remota de código (RCE) falla en el parche Log4Shell conocido como CVE-2021-45046, podría permitir a los actores de amenazas realizar ataques RCE. Estos ataques pueden ocurrir si la función de búsqueda JNDI vulnerable es explotada por la biblioteca de registro log4j. El problema es que la función explotable estaba habilitada de forma predeterminada en muchas versiones de la biblioteca., Google explicó.
El exploit Log4j “ha cautivado al ecosistema de seguridad de la información desde su divulgación el 9 de diciembre debido tanto a su gravedad como a su impacto generalizado,"Señaló Google. La popular herramienta de registro es utilizada por innumerables proyectos y paquetes de software en el campo del software.. La peor parte es que parchear el exploit es un desafío debido a la falta de visibilidad del usuario sobre sus dependencias y dependencias transitivas.. El impacto total del exploit también es difícil de cautivar y determinar..
Hasta aquí, Google ha descubierto 35,863 de los artefactos Java disponibles en Maven Central que dependen del código Log4j vulnerable. Sin embargo, estos números no corresponden a todos los paquetes de Java, incluyendo binarios distribuidos directamente. Sin embargo, "Maven Central es un poderoso indicador del estado del ecosistema".
"En lo que respecta al impacto en el ecosistema, 8% es enorme. El impacto promedio en el ecosistema de las advertencias que afectan a Maven Central es 2%, con una mediana inferior al 0,1% ", añadió Google.
La noticia algo buena
Al momento de publicar sus hallazgos (Diciembre 17), Google estimó que se arreglaron casi cinco mil de los artefactos afectados, lo que representa "una respuesta rápida y un esfuerzo gigantesco tanto por parte de los mantenedores de log4j como de la comunidad más amplia de consumidores de código abierto".
Sin embargo, 30,000 los artefactos todavía están afectados, muchos de los cuales dependen de otro artefacto para parchear, conocida como dependencia transitiva, y probablemente estén bloqueados.
En una nota diferente, el exploit CVE-2021-44228 log4j fue recientemente abusado por un grupo de ransomware novedoso, conocido como concierto. Los Estados Unidos. La Agencia de Ciberseguridad y Seguridad de la Infraestructura fue la que hizo la divulgación de la explotación activa de la falla..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: