Algunos investigadores descubrieron una vulnerabilidad crítica en la biblioteca Apache Log4j, que obtiene una puntuación perfecta de 10 sobre 10 en el CVSS. A continuación, te indicamos cómo protegerte.
Varios medios de noticias ya han reportado el descubrimiento de la vulnerabilidad crítica CVE-2021-44228 en la biblioteca Apache Log4j (nivel de gravedad CVSS 10 de 10). Millones de aplicaciones Java utilizan esta biblioteca para registrar mensajes de error. Y, lo que es peor, los atacantes ya están explotando activamente esta vulnerabilidad. Por este motivo, la Apache Foundation recomienda a todos los desarrolladores que actualicen la biblioteca a la versión 2.15.0 y, si esto no fuera posible, usar uno de los métodos descritos en la página Apache Log4j Security Vulnerabilities.
Solicita una cotización del mejor escaner de vulnerabilidades de sitios web y aplicativos expuestos, con precios por anualidad e intercambio de targets, BURP SUITE ENTERPRISE es el único que lo ofrece, cambia YA!
Por qué CVE-2021-44228 es tan peligrosa
CVE-2021-44228, también llamada Log4Shell o LogJam, es una vulnerabilidad del tipo de ejecución remota de código (RCE) , por lo que, si los atacantes logran explotarla en uno de los servidores, obtienen la capacidad de ejecutar código arbitrario y tomar el control total del sistema.
La vulnerabilidad CVE-2021-44228 es especialmente peligrosa por su facilidad de explotación: incluso un cibercriminal sin experiencia podría ejecutar con éxito un ataque utilizando esta vulnerabilidad. De acuerdo con los investigadores, los atacantes solo necesitan obligar a la aplicación a escribir una única cadena en el registro y, después, pueden cargar su propio código en la aplicación debido a la función de sustitución de búsqueda de mensajes.
Las pruebas de concepto (PoC) para los ataques a través de la CVE-2021-44228 ya están disponibles en Internet. Por lo tanto, no sorprende que las empresas de ciberseguridad ya estén registrando escaneos masivos de redes en busca de aplicaciones vulnerables, así como ataques a honeypots, también conocidos como los sistemas señuelo.
Chen Zhaojun de Alibaba Cloud Security Team descubrió está vulnerabilidad.
¿Qué es Apache Log4J y por qué es tan popular?
Apache Log4j es parte del Apache Logging Project. En general, el uso de esta biblioteca es una de las formas más fáciles de registrar errores, por ello, la mayoría de los desarrolladores de Java la usan.
Muchas de las grandes empresas de software y servicios online utilizan la biblioteca Log4j, entre las que se incluyen Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter, etc. Dada la popularidad de la biblioteca, algunos investigadores de seguridad de la información esperan un aumento significativo en los ataques a servidores vulnerables en los próximos días.
¿Qué versiones de la biblioteca Log4j son vulnerables y cómo puedes proteger tus servidores de los ataques?
Casi todas las versiones de Log4j son vulnerables, a partir de 2.0-beta9 hasta 2.14.1. El método de protección más simple y eficaz es instalar la versión más reciente de la biblioteca, la 2.15.0. Puedes descargarla en la página del proyecto.
Si por algún motivo no es posible actualizar la biblioteca, Apache Foundation recomienda usar uno de los métodos de mitigación. En el caso de las versiones de Log4J 2.10 a 2.14.1, recomiendan configurar la propiedad del sistema log4j2.formatMsgNoLookups o configurar la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS con el valor true.
A fin de proteger las versiones anteriores de Log4j (de 2.0-beta9 a 2.10.0), los desarrolladores de la biblioteca recomiendan eliminar la clase JndiLookup de la ruta de clases: zip -q -d log4j-core – *. Jar org / apache / logging / log4j / core / lookup / JndiLookup .class
Además, recomendamos instalar soluciones de seguridad en tus servidores; en muchos casos, esto te permitirá detectar el lanzamiento de código malicioso y así detener el desarrollo del ataque.
Descubre todo tipo de Vulnerabilidades. Con el escáner para sitios y aplicaciones web habilitado para empresas. «BURP SUITE ENTERPRISE»
Impacto corriente abajo
Las versiones 2.0-beta9 hasta la 2.14.1 inclusive se ven afectadas por la falla.
Los mantenedores de Apache Log4j lanzaron hoy una nueva versión , 2.15.0, un día después de que apareciera la prueba de concepto (PoC) en Twitter y GitHub , junto con los pasos de mitigación para aquellos que no puedan actualizar de inmediato.
«Ahora debe fluir hacia Apache Struts2, Solr, distribuciones de Linux, proveedores, dispositivos, etc.», tuiteó el especialista en seguridad británico Kevin Beaumont.
Las aplicaciones potencialmente vulnerables incluyen cualquiera que use Apache Struts e iCloud, Steam, Twitter, Amazon y el sitio web de Tesla, según un repositorio de GitHub recientemente publicado . También hace referencia a Cloudflare, aunque la compañía se puso en contacto con The Daily Swig para decir: “Respondimos rápidamente para evaluar todas las áreas potenciales de riesgo y actualizamos nuestro software para prevenir ataques, y no pudimos replicar ninguna afirmación externa que pudiéramos estar en riesgo.»
Beaumont agregó: «Aunque esto surgió como un problema de Minecraft (risas), habrá impactos en una amplia gama de software empresarial durante algún tiempo».
Muchos proyectos de código abierto ya han abordado el problema en sus propias aplicaciones, según Free Wortley y Chris Thompson, respectivamente CEO y desarrollador de la plataforma de seguridad de datos de código abierto LunaSec.
Vectores de ataque
La pareja ha documentado varios exploits y otra información clave sobre la vulnerabilidad en una publicación de blog publicada ayer (9 de diciembre) y todavía están publicando actualizaciones a medida que surgen nuevos detalles.
Los servidores son vulnerables si ejecutan una versión vulnerable de Log4j y tienen un protocolo de punto final que permite a un atacante enviar una cadena de explotación y una declaración de registro que desconecta la cadena de la solicitud, dijeron.
Las versiones 2.14.1 y anteriores de Apache Log4j2 no protegen contra los atacantes (Protocolo ligero de acceso a directorios) (LDAP) y otros puntos finales relacionados con JNDI, de acuerdo con la descripción de CVE .
“Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada”, dice.
Este comportamiento ya no está habilitado de forma predeterminada en Log4j 2.15.0 y «se desaconseja encarecidamente a los usuarios que lo habiliten», aconsejan los encargados del mantenimiento.
Las versiones de Java Development Kit (JDK) superiores a 6u211, 7u201, 8u191 y 11.0.1 no se ven afectadas por el vector de ataque LDAP, según otra publicación de blog a la que hacen referencia Wortley y Thompson.
Sin embargo, existen otros vectores de ataque que pueden resultar en RCE, incluido un ataque dirigido a org.apache.naming.factory.BeanFactory , una clase presente en los servidores Apache Tomcat, según lo documentado por Veracode en 2019.
Debido a que estas vulnerabilidades de Java son tan comunes, los investigadores de seguridad han creado herramientas, como el proyecto marshalsec , para explotarlas, señalan Wortley y Thompson.
La pareja recomienda que los equipos de seguridad protejan los datos confidenciales mediante la implementación de tokenización.
Beaumont señaló que la primera solución, la versión 2.15.0-rc1, se omitió, por lo que los usuarios deben aplicar log4j-2.15.0-rc2. También observó: «Su configuración JDK puede salvarlo de la explotación, algunas distribuciones envían configuraciones seguras de forma predeterminada».
NORTH NETWORKS es Distribuidor de BURP SUITE con valor agregado, solicita una cotización o demo ahora mismo y no expongas a tu empresa o los recursos de de esta.
Si te ha gustado, ¡compártelo con tus amigos!
