El exploit Apache Log4j puede afectar a Minecraft: Java Edition, Amazon, Twitter y muchos más, pero puede ser mitigado.
Se ha descubierto una vulnerabilidad de seguridad de día cero de gran alcance que podría permitir la ejecución remota de código por parte de actores nefastos en un servidor, y que podría afectar a montones de aplicaciones online, incluyendo Minecraft: Java Edition, Steam, Twitter y muchas más si no se comprueba.
El exploit se identifica como CVE-2021-44228, que está marcado como 9,8 en la escala de gravedad por (Red Hat) pero es lo suficientemente reciente como para que aún esté pendiente de análisis por parte de NVD. Se encuentra dentro de la biblioteca de registro basada en Java Apache Log4j, ampliamente utilizada, y el peligro radica en cómo permite a un usuario ejecutar código en un servidor, tomando potencialmente el control completo sin el acceso o la autoridad adecuados, a través del uso de los mensajes de registro.
«Un atacante que pueda controlar los mensajes de registro o los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de la búsqueda de mensajes está habilitada», afirma la (CVE ID description).
El problema podría afectar a Minecraft: Java Edition, Tencent, Apple, Twitter, Amazon y muchos más proveedores de servicios en línea. Y es que, aunque Java ya no es tan común para los usuarios, sigue siendo muy utilizado en las aplicaciones empresariales. Afortunadamente, Valve dijo que Steam no se ve afectado por el problema.
«Revisamos inmediatamente nuestros servicios que utilizan log4j y verificamos que nuestras reglas de seguridad de red bloquean la descarga y ejecución de código no fiable», dijo un representante de Valve a PC Gamer. «No creemos que haya ningún riesgo para Steam asociado a esta vulnerabilidad».
En cuanto a la solución, afortunadamente hay algunas opciones. El problema afecta a las versiones de log4j entre la 2.0 y la 2.14.1. La actualización a la versión 2.15 de Apache Log4j es la mejor medida para mitigar el problema, como se indica en la página de vulnerabilidad de seguridad de Apache Log4j. Sin embargo, los usuarios de versiones anteriores también pueden mitigar el problema estableciendo la propiedad del sistema «log4j2.formatMsgNoLookups» a «true» o eliminando la clase JndiLookup del classpath.
Si estás ejecutando un servidor que utiliza Apache, como tu propio servidor Java de Minecraft, querrás actualizar inmediatamente a la versión más reciente o parchear tu versión anterior como se indica más arriba para asegurarte de que tu servidor está protegido. Del mismo modo, Mojang ha lanzado un parche para asegurar los clientes del juego de los usuarios, y se pueden encontrar más detalles (aquí).
La seguridad de los jugadores es nuestra máxima prioridad. Lamentablemente, hoy hemos identificado una vulnerabilidad de seguridad en Minecraft: Java Edition.
El problema está parcheado, pero por favor, sigue estos pasos para asegurar tu cliente de juego y/o servidores. Por favor, RT para ampliar.https://t.co/4Ji8nsvpHf
– Minecraft (@Minecraft) December 10, 2021
El temor a largo plazo es que, si bien los que saben mitigarán ahora el fallo potencialmente peligroso, habrá muchos más que no lo harán y podrían dejar el fallo sin parchear durante un largo período de tiempo.
Muchos ya temen que la vulnerabilidad esté siendo explotada, incluido el CERT NZ. Por ello, es probable que muchos usuarios de empresas y de la nube se apresuren a parchear el impacto lo antes posible.
«Debido a la facilidad de explotación y la amplitud de la aplicabilidad, sospechamos que los actores de ransomware comenzarán a aprovechar esta vulnerabilidad inmediatamente», dice la firma de seguridad Randori en un (blog post) sobre la vulnerabilidad.
