Una grave vulnerabilidad de ejecución de código en Log4j tiene a los expertos en seguridad advirtiendo sobre consecuencias potencialmente catastróficas para las organizaciones empresariales y las aplicaciones web.
Una grave vulnerabilidad de ejecución de código en Log4j tiene a los expertos en seguridad advirtiendo sobre consecuencias potencialmente catastróficas para las organizaciones empresariales y las aplicaciones web.
La vulnerabilidad, que figura como CVE-2021-44228 en el registro de vulnerabilidades de seguridad de Apache Log4j, permite a los atacantes remotos tomar el control de un sistema afectado.
¿Qué es Log4j?
Log4j es un marco de sistema de registro Apache de código abierto utilizado por los desarrolladores para el mantenimiento de registros dentro de una aplicación.
Este exploit en la popular biblioteca de registro de Java da como resultado la ejecución remota de código (RCE). El atacante envía una cadena de código malicioso que, cuando Log4j lo registra, le permite cargar Java en el servidor y tomar el control.
Wired informa que los atacantes estaban usando la función de chat de Minecraft para explotar la vulnerabilidad el viernes por la tarde. Wired
¿Quién se ve afectado por el problema de seguridad de Log4j?
El problema es tan grave que la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos publicó un aviso el 10 de diciembre que establece, en parte: December 10
“CISA encourages users and administrators to review the Apache Log4j 2.15.0 Announcement and upgrade to Log4j 2.15.0 or apply the recommended mitigations immediately.”
«CISA alienta a los usuarios y administradores a revisar el anuncio de Apache Log4j 2.15.0 y actualizar a Log4j 2.15.0 o aplicar las mitigaciones recomendadas de inmediato». Apache Log4j 2.15.0 Announcement
El registro al que se hace referencia anteriormente clasifica la gravedad del problema como «Crítico» y lo describe como:
“Apache Log4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints.
An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled.”
“Apache Log4j2 <=2.14.1 Las funciones JNDI utilizadas en la configuración, los mensajes de registro y los parámetros no protegen contra el LDAP controlado por atacantes y otros puntos finales relacionados con JNDI.
Un atacante que puede controlar los mensajes de registro o los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada”.
Marcus Hutchins de MalwareTech.com advierte que se ha confirmado que iCloud, Steam y Minecraft son vulnerables:
This log4j (CVE-2021-44228) vulnerability is extremely bad. Millions of applications use Log4j for logging, and all the attacker needs to do is get the app to log a special string. So far iCloud, Steam, and Minecraft have all been confirmed vulnerable.
— Marcus Hutchins (@MalwareTechBlog) December 10, 2021
Esta vulnerabilidad log4j (CVE-2021-44228) es extremadamente mala. Millones de aplicaciones usan Log4j para iniciar sesión, y todo lo que el atacante debe hacer es hacer que la aplicación registre una cadena especial.. Hasta ahora, se ha confirmado que iCloud, Steam y Minecraft son vulnerables.
— Marcus Hutchins (@MalwareTechBlog) 10 de diciembre de 2021 December 10, 2021
Free Wortley, CEO de LunaSec, escribió en una publicación de blog ‘RCE Zero-Day’ del 9 de diciembre que «Cualquiera que use Apache Struts probablemente sea vulnerable». RCE Zero-Day
También dijo: «Dado lo omnipresente que es esta biblioteca, el impacto del exploit (control total del servidor) y lo fácil que es explotar, el impacto de esta vulnerabilidad es bastante grave».
CERT, el Equipo de Respuesta a Emergencias Informáticas de Austria, publicó una advertencia el viernes que decía que los afectados incluyen: published a warning
“All Apache log4j versions from 2.0 up to and including 2.14.1 and all frameworks (e.g. Apache Struts2, Apache Solr, Apache Druid, Apache Flink, etc.) that use these versions.
According to the security company LunaSec, the JDK versions 6u211, 7u201, 8u191, and 11.0.1 are not affected in the default configuration, as this does not allow a remote codebase to be loaded.
However, if the option
com.sun.jndi.ldap.object.trustURLCodebaseistrueset to, an attack is still possible.”
“Todas las versiones de Apache log4j desde 2.0 hasta 2.14.1 inclusive y todos los marcos (p. ej.. Apache Struts2, Apache Solr, Apache Druid, Apache Flink, etc.) que utilizan estas versiones.
Según la empresa de seguridad LunaSec, las versiones de JDK 6u211, 7u201, 8u191 y 11.0.1 no se ven afectadas en la configuración predeterminada, ya que esta no permite cargar un código base remoto.
Sin embargo, si la opción com.sun.jndi.ldap.object.trustURLCodebase es trueset, aún es posible un ataque».
Rob Joyce, director de seguridad cibernética de la NSA, tuiteó el viernes que «la vulnerabilidad log4j es una amenaza significativa para la explotación debido a la inclusión generalizada en los marcos de software, incluso GHIDRA de la NSA». tweeted Friday
Recomendaciones de expertos en seguridad para combatir las vulnerabilidades de Log4j
Kevin Beaumont advierte que incluso si hubiera actualizado a log4j-2.15.0-rc1, hubo una omisión:
If you already upgraded code to use just released log4j-2.15.0-rc1, it’s still vulnerable – you now need to apply log4j-2.15.0-rc2 as there was a bypass. They is no stable release which fixes yet.
— Kevin Beaumont (@GossiTheDog) December 10, 2021
Si ya actualizó el código para usar el log4j-2.15.0-rc1 recién publicado, aún es vulnerable; ahora debe aplicar log4j-2.15.0-rc2 ya que hubo una omisión. No hay una versión estable que se solucione todavía.
– Kevin Beaumont (@GossiTheDog) 10 de diciembre de 2021 December 10, 2021
Marcus Hutchins de MalwareTech.com ofrece una solución para aquellos que no pueden actualizar Log4j:
If you can’t upgrade log4j, you can mitigate the RCE vulnerability by setting log4j2.formatMsgNoLookups to True (-Dlog4j2.formatMsgNoLookups=true in JVM command line).
— Marcus Hutchins (@MalwareTechBlog) December 10, 2021
Si no puede actualizar log4j, puede mitigar la vulnerabilidad de RCE configurando log4j2.formatMsgNoLookups en True (-Dlog4j2.formatMsgNoLookups=true en la línea de comandos de JVM).
— Marcus Hutchins (@MalwareTechBlog) 10 de diciembre de 2021 December 10, 2021
Matthew Prince, cofundador y director ejecutivo de Cloudflare, anunció el viernes: announced Friday
“We’ve made the determination that #Log4J is so bad we’re going to try and roll out at least some protection for all Cloudflare customers by default, even free customers who do not have our WAF. Working on how to do that safely now.”
“Hemos tomado la determinación de que #Log4J es tan malo que intentaremos implementar al menos alguna protección para todos los clientes de Cloudflare de forma predeterminada, incluso los clientes gratuitos que no tienen nuestro WAF. Trabajando en cómo hacerlo de manera segura ahora”.
Chris Wysopal, cofundador y CTO de Veracode, recomienda actualizar a un mínimo de Java 8:
The patched version of log4j 2.15.0 requires a minimum of Java 8. If you are on Java 7 you will need to upgrade to Java8
When there is active exploitation and you need to patch fast it is beneficial if you have been updating your other dependencies over time.
— Chris Wysopal (@WeldPond) December 10, 2021
La versión parcheada de log4j 2.15.0 requiere un mínimo de Java 8. Si está en Java 7, deberá actualizar a Java8
Cuando hay una explotación activa y necesita parchear rápidamente, es beneficioso si ha estado actualizando sus otras dependencias a lo largo del tiempo.
– Chris Wysopal (@WeldPond) 10 de diciembre de 2021 December 10, 2021
También advierte: “Puede que solo haya un 5 % de las aplicaciones todavía en Java 7, pero esa es la cola larga que se explotará en los próximos meses.. No tenga uno de estos en su organización”. He also warns
Averiguar qué aplicaciones en su organización usan Log4j debería ser una misión crítica.
Imagen destacada: Shutterstock/solarseven
Leer el articulo original en Search Engine Journal.
