Una grave vulnerabilidad de ejecución de código en Log4j hace que los expertos en seguridad adviertan sobre consecuencias potencialmente catastróficas para las organizaciones empresariales y las aplicaciones web.
La vulnerabilidad, que figura como CVE-2021-44228 en el registro de vulnerabilidades de seguridad de Apache Log4j, permite a los atacantes remotos tomar el control de un sistema afectado.
¿Qué es Log4j?
Log4j es un marco de sistema de registro Apache de código abierto utilizado por los desarrolladores para el mantenimiento de registros dentro de una aplicación.
Este exploit en la popular biblioteca de registro de Java da como resultado la ejecución remota de código (RCE). El atacante envía una cadena de código malicioso que, cuando Log4j lo registra, le permite cargar Java en el servidor y tomar el control.
Cableado informa que los atacantes estaban usando la función de chat de Minecraft para explotar la vulnerabilidad el viernes por la tarde.
¿Quién se ve afectado por el problema de seguridad de Log4j?
El problema es tan grave que la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos publicó un aviso 10 de diciembre que dice, en parte:
“CISA anima a los usuarios y administradores a revisar la Anuncio de Apache Log4j 2.15.0 y actualice a Log4j 2.15.0 o aplique las mitigaciones recomendadas de inmediato «.
Anuncio publicitario
Continuar leyendo a continuación
El registro mencionado anteriormente clasifica la gravedad del problema como «Crítico» y lo describe como:
“Apache Log4j2 <= 2.14.1 Las características JNDI utilizadas en la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por atacantes y otros puntos finales relacionados con JNDI.
Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada «.
Marcus Hutchins de MalwareTech.com advierte que se ha confirmado que iCloud, Steam y Minecraft son vulnerables:
Esta vulnerabilidad log4j (CVE-2021-44228) es extremadamente mala. Millones de aplicaciones usan Log4j para el registro, y todo lo que el atacante necesita hacer es hacer que la aplicación registre una cadena especial. Hasta ahora, se ha confirmado que iCloud, Steam y Minecraft son vulnerables.
– Marcus Hutchins (@MalwareTechBlog) 10 de diciembre de 2021
Free Wortley, CEO de LunaSec, escribió el 9 de diciembre ‘RCE de día cero‘entrada de blog que, «Cualquiera que use Apache Struts es probablemente vulnerable».
También dijo: «Dado lo ubicua que es esta biblioteca, el impacto del exploit (control total del servidor) y lo fácil que es explotar, el impacto de esta vulnerabilidad es bastante severo».
Anuncio publicitario
Continuar leyendo a continuación
CERT, el equipo austriaco de respuesta a emergencias informáticas, publicó una advertencia Viernes que indicó que los afectados incluyen:
“Todas las versiones de Apache log4j desde la 2.0 hasta la 2.14.1 inclusive y todos los marcos (por ejemplo, Apache Struts2, Apache Solr, Apache Druid, Apache Flink, etc.) que usan estas versiones.
Según la empresa de seguridad LunaSec, las versiones de JDK 6u211, 7u201, 8u191 y 11.0.1 no se ven afectadas en la configuración predeterminada, ya que esto no permite cargar una base de código remota.
Sin embargo, si la opción
com.sun.jndi.ldap.object.trustURLCodebase
estrue
configurado, un ataque aún es posible «.
Rob Joyce, director de ciberseguridad de la NSA, tuiteó el viernes que, “La vulnerabilidad log4j es una amenaza significativa para la explotación debido a la inclusión generalizada en marcos de software, incluso GHIDRA de la NSA.
Recomendaciones de expertos en seguridad para combatir las vulnerabilidades de Log4j
Kevin Beaumont advierte que incluso si se actualizó a log4j-2.15.0-rc1, hubo una omisión:
Si ya actualizó el código para usar log4j-2.15.0-rc1 recién lanzado, aún es vulnerable; ahora debe aplicar log4j-2.15.0-rc2 ya que había una omisión. No hay una versión estable que se solucione todavía.
– Kevin Beaumont (@GossiTheDog) 10 de diciembre de 2021
Marcus Hutchins de MalwareTech.com ofrece una solución para aquellos que no pueden actualizar Log4j:
Si no puede actualizar log4j, puede mitigar la vulnerabilidad de RCE configurando log4j2.formatMsgNoLookups en True (-Dlog4j2.formatMsgNoLookups = true en la línea de comandos de JVM).
– Marcus Hutchins (@MalwareTechBlog) 10 de diciembre de 2021
Matthew Prince, cofundador y director ejecutivo de Cloudflare, anunció el viernes:
«Hemos tomado la determinación de que # Log4J es tan malo que vamos a intentar implementar al menos algo de protección para todos Cloudflare clientes por defecto, incluso clientes gratuitos que no tienen nuestro WAF. Trabajando en cómo hacerlo de forma segura ahora «.
Chris Wysopal, cofundador y CTO de Veracode, recomienda actualizar a un mínimo de Java 8:
La versión parcheada de log4j 2.15.0 requiere un mínimo de Java 8. Si está en Java 7, deberá actualizar a Java8
Cuando hay explotación activa y necesita parchear rápidamente, es beneficioso si ha estado actualizando sus otras dependencias a lo largo del tiempo.
– Chris Wysopal (@WeldPond) 10 de diciembre de 2021
Anuncio publicitario
Continuar leyendo a continuación
El tambien advierte, “Puede que solo haya un 5% de las aplicaciones todavía en Java 7, pero esa es la cola larga que se explotará en los próximos meses. No tenga uno de estos en su organización «.
Averiguar qué aplicaciones en su organización utilizan Log4j debería ser una misión crítica.
Imagen destacada: Shutterstock / solarseven
Consultar el artículo en la publicación original