Los funcionarios de seguridad cibernética de EE. UU. Han ordenado a las agencias federales que protejan sus sistemas de una vulnerabilidad informática importante antes de la víspera de Navidad.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha establecido como fecha límite el 24 de diciembre para los parches de seguridad.

Los expertos en seguridad consideran que Log4shell es una de las fallas de seguridad más graves de la última década.

La directora de CISA, Jen Easterly, lo llamó «un riesgo grave».

Por otra parte, Microsoft advirtió que algunos grupos de piratería en el estado están usando Log4shell.

«Múltiples grupos de actividades nacionales rastreados de China, Irán, Corea del Norte y Turquía» utilizaron la vulnerabilidad, dijo la compañía, para actividades que van desde «experimentos» hasta ataques dirigidos.

CISA lo ha agregado al «Catálogo de vulnerabilidades explotadas conocidas», una lista de vulnerabilidades de seguridad comunes que representan un riesgo significativo para las organizaciones federales.

La agencia dijo que las agencias ejecutivas civiles federales deben «suavizar» el problema, con sistemas de TI parcheados con nuevo software, para el 24 de diciembre.

Una preocupación particular con Log4shell fue la facilidad con la que se puede utilizar: una empresa de seguridad, Crowdstrike, dijo que era «trivial» explotarlo.

En los últimos cuatro meses, Log4J, el código que contiene la falla, ha sido descargado 84 millones de veces desde el repositorio público más grande de componentes Java de código abierto, según la firma de seguridad Sonatype.

Millones de computadoras que ejecutan servicios en línea lo utilizan para registrar o registrar eventos.

«Por ejemplo, si compra algo en línea, su nombre de usuario puede escribirse en un archivo de registro para su posterior procesamiento», dijo a BBC News el director técnico de Cloudflare, John Graham-Cumming.

“Desafortunadamente, un error en Log4j significó que al usar caracteres especiales en los datos que se registran, es posible que una máquina dentro de una empresa ejecute código que controla un atacante.

«Les da un punto de apoyo en lo que normalmente sería una computadora segura y protegida».

Cloudflare, que proporciona seguridad en Internet y otros servicios diseñados para mantener las empresas en línea funcionando sin problemas, ha implementado medidas para proteger a sus usuarios de la vulnerabilidad.

Le dijo a BBC News que bloqueó 1.3 millones de intentos de usar Log4shell en solo una hora el martes.

Se han lanzado actualizaciones para proteger contra el error.

El Centro Nacional de Seguridad Cibernética de Gran Bretaña ha pedido a las empresas que sigan «urgentemente» sus consejos para mitigar el problema e «instalen las últimas actualizaciones inmediatamente donde se sepa que se utiliza Log4j».

Pero el sitio de noticias de seguridad SC Media informó que los expertos «se estimó que encontrarían nuevos casos de esta vulnerabilidad en empresas y proveedores durante meses o años».