La falla catastrófica de seguridad de Log4j amenaza los sistemas empresariales y las aplicaciones web en todo el mundo


Una grave vulnerabilidad de ejecución de código en Log4j hace que los expertos en seguridad adviertan sobre consecuencias potencialmente catastróficas para las organizaciones empresariales y las aplicaciones web.

La vulnerabilidad, que figura como CVE-2021-44228 en el registro de vulnerabilidades de seguridad de Apache Log4j, permite a los atacantes remotos tomar el control de un sistema afectado.

¿Qué es Log4j?

Log4j es un marco de sistema de registro Apache de código abierto utilizado por los desarrolladores para el mantenimiento de registros dentro de una aplicación.

Este exploit en la popular biblioteca de registro de Java da como resultado la ejecución remota de código (RCE). El atacante envía una cadena de código malicioso que, cuando Log4j lo registra, le permite cargar Java en el servidor y tomar el control.

Cableado informa que los atacantes estaban usando la función de chat de Minecraft para explotar la vulnerabilidad el viernes por la tarde.

¿Quién se ve afectado por el problema de seguridad de Log4j?

El problema es tan grave que la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos publicó un aviso 10 de diciembre que dice, en parte:

“CISA anima a los usuarios y administradores a revisar la Anuncio de Apache Log4j 2.15.0 y actualice a Log4j 2.15.0 o aplique las mitigaciones recomendadas de inmediato «.

Anuncio publicitario

Continuar leyendo a continuación

El registro mencionado anteriormente clasifica la gravedad del problema como «Crítico» y lo describe como:

“Apache Log4j2 <= 2.14.1 Las características JNDI utilizadas en la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por atacantes y otros puntos finales relacionados con JNDI.

Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada «.

Marcus Hutchins de MalwareTech.com advierte que se ha confirmado que iCloud, Steam y Minecraft son vulnerables:

Free Wortley, CEO de LunaSec, escribió el 9 de diciembre ‘RCE de día cero‘entrada de blog que, «Cualquiera que use Apache Struts es probablemente vulnerable».

También dijo: «Dado lo ubicua que es esta biblioteca, el impacto del exploit (control total del servidor) y lo fácil que es explotar, el impacto de esta vulnerabilidad es bastante severo».

Anuncio publicitario

Continuar leyendo a continuación

CERT, el equipo austriaco de respuesta a emergencias informáticas, publicó una advertencia Viernes que indicó que los afectados incluyen:

“Todas las versiones de Apache log4j desde la 2.0 hasta la 2.14.1 inclusive y todos los marcos (por ejemplo, Apache Struts2, Apache Solr, Apache Druid, Apache Flink, etc.) que usan estas versiones.

Según la empresa de seguridad LunaSec, las versiones de JDK 6u211, 7u201, 8u191 y 11.0.1 no se ven afectadas en la configuración predeterminada, ya que esto no permite cargar una base de código remota.

Sin embargo, si la opción com.sun.jndi.ldap.object.trustURLCodebasees trueconfigurado, un ataque aún es posible «.

Rob Joyce, director de ciberseguridad de la NSA, tuiteó el viernes que, “La vulnerabilidad log4j es una amenaza significativa para la explotación debido a la inclusión generalizada en marcos de software, incluso GHIDRA de la NSA.

Recomendaciones de expertos en seguridad para combatir las vulnerabilidades de Log4j

Kevin Beaumont advierte que incluso si se actualizó a log4j-2.15.0-rc1, hubo una omisión:

Marcus Hutchins de MalwareTech.com ofrece una solución para aquellos que no pueden actualizar Log4j:

Matthew Prince, cofundador y director ejecutivo de Cloudflare, anunció el viernes:

«Hemos tomado la determinación de que # Log4J es tan malo que vamos a intentar implementar al menos algo de protección para todos Cloudflare clientes por defecto, incluso clientes gratuitos que no tienen nuestro WAF. Trabajando en cómo hacerlo de forma segura ahora «.

Chris Wysopal, cofundador y CTO de Veracode, recomienda actualizar a un mínimo de Java 8:

Anuncio publicitario

Continuar leyendo a continuación

El tambien advierte, “Puede que solo haya un 5% de las aplicaciones todavía en Java 7, pero esa es la cola larga que se explotará en los próximos meses. No tenga uno de estos en su organización «.

Averiguar qué aplicaciones en su organización utilizan Log4j debería ser una misión crítica.


Imagen destacada: Shutterstock / solarseven





Consultar el artículo en la publicación original

La falla catastrófica de seguridad de Log4j amenaza los sistemas empresariales y las aplicaciones web en todo el mundo
A %d blogueros les gusta esto: