Guillaume Poupard, director general de la Agencia Nacional para la Seguridad de los Sistemas de Información (Anssi), describió como «grave«La falla de la computadora llamada «Log4Shell» revelado hace unos días.

Esta es una vulnerabilidad en la biblioteca de registro de código abierto Log4j, desarrollada por Apache. Afecta a un gran número de posibles víctimas, ya que esta biblioteca se utiliza muy a menudo en proyectos de desarrollo de Java/J2EE, así como por los editores de soluciones de software disponibles en el mercado basadas en Java/J2EE.

Un discurso tranquilizador
este defecto»promete unas celebraciones de fin de año algo dolorosas para muchos expertos”, añadió el director general, preguntado durante una rueda de prensa sobre el futuro campus dedicado a la ciberseguridad en Defensa el 14 de diciembre y citado por El mundo. También fue tranquilizador:en un mes, probablemente no hablemos más de eso, será residualUn discurso mucho menos alarmista que el de ciertos expertos que califican a Log4Shell como la mayor vulnerabilidad informática de la historia.

Ahora queda por ver si, pero sobre todo cómo, se puede aprovechar esta vulnerabilidad para llevar a cabo ataques. En la práctica, permite la ejecución de código arbitrario en un servidor vulnerable por parte de un atacante sin tener que autenticarse. Sobre este tema, Guillaume Poupard estaba bastante preocupado: «Me temo que indagando (…) nos daremos cuenta de consecuencias que pueden ser relativamente graves“El principal temor es que se haya aprovechado el vacío legal”por mucho más tiempo de lo que piensas«.

Quebec toma medidas drásticas
Fue el equipo de seguridad de Alibaba Cloud el primero que descubrió esta falla y notificó a Apache, según información de computadora pitido. Por lo tanto, se recomienda encarecidamente utilizar la versión más reciente (2.15.0) lo antes posible para evitar ser atacado por un actor malicioso. Pero para algunos esto no es suficiente, como la ciudad de Quebec que ordenó el domingo 12 de diciembre el cierre preventivo de todos sus sistemas informáticos accesibles desde Internet, es decir, 3.992 sitios y servicios.