Apache Software Foundation ha publicado soluciones para contener una vulnerabilidad de día cero explotada activamente que afecta a la biblioteca de registro de Apache Log4j, que podría utilizarse como arma para ejecutar código malicioso y permitir una toma de control completa de los sistemas vulnerables. Diferentes proveedores de seguridad, han emitido avisos que anuncian el estudio de las implicancias en sus productos.
CVE-2021–44228 CVSS v3 10.0 Ejecución remota de código (RCE)
La vulnerabilidad, que se ha denominado Log4shell, está asociada con CVE-2021–44228 y se publicó junto con una prueba de concepto (PoC) del exploit en GitHub.
CVE-2021-44228 es una vulnerabilidad clasificada con el puntaje de gravedad más alto y permite a un atacante ejecutar código arbitrario inyectando datos controlados por el atacante en un mensaje registrado. El problema se refiere a un caso de ejecución de código remoto no autenticado (RCE) en cualquier aplicación que use la librería de código abierto en sus versiones Log4j 2.0-beta9 hasta 2.14.1, inclusive.
La vulnerabilidad está presente en la funcionalidad de búsqueda JNDI (Java Naming and Directory Interface). JNDI es una API que proporciona a las aplicaciones Java la funcionalidad de búsqueda de nombres y directorios. La biblioteca log4j admite JNDI a través de LDAP y RMI.
Cuando se solicita generar logs de registro y recibir una referencia JNDI, la biblioteca log4j buscará y cargará el recurso al que apunta la referencia. Este proceso puede incluso hacer que la aplicación cargue una clase y ejecute su código, un recurso que dejó espacio para la vulnerabilidad.
Prueba de concepto (PoC)
Hay que considerar dos características que transforman en crítica la explotación de esta vulnerabilidad:
La siguiente es una exploración paso a paso:
Mitigación
Dada la facilidad de explotación se debe actualizar la biblioteca log4j a la nueva versión (2.15.0) que soluciona el problema. Para mayores detalles, referirse a la información oficial:
Si no es posible actualizar la biblioteca de inmediato, existen algunas medidas de mitigación:
Junto con esto recordar que como el exploit requiere que el servidor afectado acceda y cargue contenido externo (Internet), es importante que el tráfico saliente (que se origina en el servidor) esté bloqueado o restringido solo a destinos confiables. Esta es una recomendación importante para mitigar éste y otros exploits.
Comandos para detección de explotación
También es posible detectar la explotación de esta vulnerabilidad a través de los siguientes comandos:
Grep/Zgrep
Grep/Zgrep en variantes ofuscadas
Reglas YARA
Las siguientes reglas fueron compartidas en la comunidad de Github por el usuario Neo23x0, las cuales buscan detectar la explotación de esta vulnerabilidad.
https://github.com/Neo23x0/signature-base/blob/master/yara/expl_log4j_cve_2021_44228.yar
Amenazas evidenciadas
Debido a la alta criticidad del presente CVE, se ha evidenciado que múltiples ciberactores se están centrando rápidamente en explotar dicha vulnerabilidad antes que la mayoría de los usuarios lleven a cabo el parchado.
Entre los ataques evidenciados ha tomado gran relevancia la propagación de botnets con despliegue de criptomineros sin embargo no representa la única amenaza ya que actores de diferentes envergadura pueden aprovechar la oportunidad para el desarrollo de sus operaciones como lo es el hacktivismo o espionaje industrial, entre otros.
Dentro de las amenazas identificadas se encuentran
Respuesta de importantes proveedores de seguridad contra la vulnerabilidad de ejecución remota de código Apache Log4j (CVE-2021-44228)
Es importante tener en cuenta que las aplicaciones y productos de terceros también pueden haberse visto afectados por esta vulnerabilidad y que la corrección puede depender de la disponibilidad de nuevas versiones de productos. Para esto diferentes Vendors han emitido diferentes avisos informando que se encuentran en proceso de investigación del problema para sus productos.
F5 : K19026212: Apache Log4j2 Remote Code Execution vulnerability CVE-2021-44228
VMware: VMSA-2021-0028.1 VMware Response to Apache Log4j Remote Code Execution Vulnerability (CVE-2021-44228)
Citrix: Citrix Security Advisory for Apache
Cisco: Vulnerability in Apache Log4j Library Affecting Cisco Products: December 2021
Palo Alto: Informativo: Impacto de la vulnerabilidad de Log4j CVE-2021-44228
Forti: Sustitución de mensajes de registro de Apache log4j2 (CVE-2021-44228)
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
https://logging.apache.org/log4j/2.x/secur... |
Producto | Versión |
---|---|
Apache Log4j2 |
anteriores a 2.15.0 |
Renuncia de Responsabilidad:
Utilice esta información bajo su propia responsabilidad! El Centro de Ciberinteligencia de Entel no se hace responsable por el uso indebido o pruebas de conceptos no controladas por parte del lector.