Apache Software Foundation ha publicado soluciones para contener una vulnerabilidad de día cero explotada activamente que afecta a Apache Log4j. Basada en Java, es una biblioteca de registro ampliamente utilizada, que podría utilizarse como arma para ejecutar código malicioso y permitir una toma de control completa de los sistemas vulnerables.
Etiquetada como CVE-2021-44228, conocida por apodos como «Log4Shell» o «LogJam» y descubierta por el equipo de seguridad de Alibaba, el problema se refiere a un caso de ejecución remota de código no autenticado (RCE) en cualquier aplicación que use esta utilidad de código abierto y afecte a las versiones no parcheadas, de Apache Log4j 2.0-beta9 hasta la 2.14. 1. El error fue calificado con la puntuación máxima de 10 sobre 10 en el sistema de clasificación CVSS, lo que indica la enorme gravedad del problema.
MS Recomienda
La explotación se puede lograr mediante una sola cadena de texto, que puede provocar que una aplicación se comunique con un host externo malicioso si se registra a través de la instancia vulnerable de Log4j, lo que le otorga al atacante la capacidad de recuperar una carga útil de un servidor remoto y ejecutarlo localmente.
Desde la Fundación Apache se recomienda actualizar sistemas a la mayor brevedad con la nueva versión 2.15.0, que soluciona el fallo deshabilitando la capacidad de un atacante que en versiones anteriores podía controlar los mensajes de registro o parámetros del log ejecutando código arbitrario cargado desde servidores LDAP cuando se habilitaba la sustitución del mensaje de búsqueda. Este comportamiento es el que se ha desactivado de manera predeterminado.
Log4Shell en Apache Log4j
«La vulnerabilidad de día cero de Apache Log4j es probablemente la vulnerabilidad más crítica que hemos visto este año«, explica Bharat Jogi del departamento de ciberseguridad de Qualys. «Log4j es una biblioteca ubicua utilizada por millones de aplicaciones Java para registrar mensajes de error. Esta vulnerabilidad es trivial de explotar«.
Y es que Log4j se utiliza como un paquete de registro en una variedad de software popular de múltiples fabricantes, incluidos Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat , Steam, Tesla, Twitter o incluso videojuegos como Minecraft. En este caso, los atacantes han podido ejecutar código malicioso remotamente simplemente pegando un mensaje especialmente diseñado en el cuadro de chat.
Grandes firmas de ciberseguridad como BitDefender, Cisco Talos o Kaspersky, han confirmado evidencias de escaneo masivo de aplicaciones afectadas en busca de servidores vulnerables y ataques registrados contra sus redes honeypot utilizando un exploit de prueba de concepto. Y advierten: «Este es un ataque de baja habilidad que es extremadamente simple de ejecutar«.
Dada su enorme peligrosidad, la facilidad de explotación y la prevalencia de esta biblioteca en servicios TI empresariales y DevOps, se espera que los ataques dirigidos a servidores susceptibles aumenten en los próximos días, por lo que es imperativo abordar el fallo de inmediato.
La firma israelí de ciberseguridad Cybereason también ha lanzado una solución llamada » Logout4Shell » que corrige el problema utilizando la propia vulnerabilidad para reconfigurar el registrador y evitar una mayor explotación del ataque. Pero en todos los casos se recomienda actualizar a la última versión de Apache Log4j.
Fuente obtenida de: https://www.muyseguridad.net/2021/12/14/vulnerabilidad-apache-log4j/
