Log4Shell puede hackear tu iPhone e incluso un Tesla

Apple Digital Legacy
(Crédito de imagen: Shutterstock)

Ahora que Log4Shell ya no es un secreto, los investigadores están experimentando con todas las diferentes formas en que el exploit podría ser utilizado en la vida real. 

Esto incluye dos ejemplos recientes que muestran cómo la vulnerabilidad en la herramienta Java de código abierto Log4j podría usarse en un iPhone, o en un Tesla, para comprometer el servidor que se comunica con los endpoints.

Un investigador holandés ha demostrado cómo al cambiar el nombre del iPhone por una cadena de caracteres se podía forzar al servidor del otro extremo a intentar acceder a una URL específica. Lo mismo hizo con un coche Tesla un investigador desconocido, que publicó sus resultados en el repositorio anónimo Log4jAttackSurface de Github.

Los riesgos aumentan

En teoría, un hacker podría alojar un malware en un servidor y luego, cambiando el nombre de un iPhone, podría forzar a los servidores de Apple a acceder a la URL de ese servidor y descargar el malware.

Sin embargo, es una posibilidad remota, ya que cualquier red bien mantenida sería capaz de evitar un ataque de este tipo con relativa facilidad. Además, no hay indicios de que este método se pueda convertir en una amenaza más seria para estas empresas, según ha explicado The Verge.

Una vulnerabilidad crítica

Log4Shell es el nombre del exploit descubierto recientemente en la herramienta Java Log4j, que según algunos investigadores gestiona millones de dispositivos con para hacer el registro de incidentes. 

Jen Easterly, directora de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA), describió el fallo como "uno de los más graves" que ha visto en toda su carrera, "si no el más grave".

"Es de esperar que la vulnerabilidad sea ampliamente explotada por los criminales modernos y tenemos un tiempo limitado para tomar las medidas necesarias para reducir la probabilidad de daños", explicó Easterly. 

Está rastreada como CVE-2021-44228, y permite a los delincuentes informáticos ejecutar prácticamente cualquier código. Los expertos han advertido de que los conocimientos necesarios para aprovechar el fallo son muy escasos, por lo que instan a todo el mundo a parchear Log4j lo antes posible.

Las organizaciones que utilicen Log4j en su software deberían actualizarlo a la última versión 2.15 inmediatamente, que está disponible en Maven Central.

Fuente: The Verge

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.