CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2

CCN-CERT AL 09/21 Nueva actualización para Apache Log4j (20/12/2021)

 
Cabecera
separador
Vulnerabilidad Apache Log4j: nueva actualización

Fecha de publicación: 20/12/2021
Nivel de peligrosidad: CRÍTICO

El CCN-CERT, del Centro Criptológico Nacional (CCN), ha actualizado la información sobre la vulnerabilidad en Apache Log4j.

Tras unas semanas en las que se han detectado importantes vulnerabilidades que afectan a Log4j, se ha detectado una nueva de tipología de denegación de servicio (DoS), recogida como CVE-2021-45105, por lo que se recomienda instalar de nuevo parches, en este caso el 2.17.

Por ello, se recomienda instalar la última versión disponible para evitar problemas de seguridad. Este parche ya está disponible y permite que las cadenas de búsqueda en la configuración se expandan de forma recursiva.

Toda la información recogida de esta vulnerabilidad puede encontrarse en la web del CCN-CERT:

https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/11435-ccn-cert-al-09-21-vulnerabilidad-en-apache-log4j-2.html

Atentamente,

Equipo CCN-CERT

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

 Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
       
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
 
Si desea cancelar su suscripción a estos boletines pinche aquí
 

 

CCN-CERT AL 09/21 Descubierta nueva vulnerabilidad asociada a Apache Log4j-2 (17/12/2021)

 
Cabecera
separador
Nuevos datos sobre vulnerabilidad en Apache Log4j 2

Fecha de publicación: 15/12/2021
Nivel de peligrosidad: CRÍTICO

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa sobre la obtención de nuevos datos respecto a la vulnerabilidad que afecta a Apache Log4j 2.

Asociada a la vulnerabilidad CVE-2021-44228 se ha identificado la vulnerabilidad CVE-2021-45046 además de otra (CVE-2021-4104) sobre Apache Log4j 1.x con ciertos cambios aunque se encuentra relacionada y es explotable.

REYES

Conviene reseñar que ya se encuentran publicadas las listas negras asociadas a la vulnerabilidad Log4j en el apartado de descargas de REYES, con los siguientes nombres:

- Log4J_vuln_url.txt

- Log4J_vuln_sha256.txt

- Log4J_vuln_ip.txt

- Log4J_vuln__domain.txt

Adicionalmente en el Event ID 136982 de MISP se encuentra también incluida dicha información.

Por otra parte, en Red Hat pueden encontrar más información además de cuáles son las clases utilizadas y vulnerables:
[+] https://access.redhat.com/security/cve/CVE-2021-4104

Principalmente, se indica que se tenga en cuenta que este fallo SÓLO afecta a las aplicaciones que están configuradas específicamente para utilizar JMSAppender, que no lo es por defecto, o cuando el atacante tiene acceso de escritura a la configuración de Log4j para añadir JMSAppender al JMS Broker del atacante.

Cabe destacar que es una vulnerabilidad relacionada con JNDI.

Más información sobre la vulnerabilidad en la versión 1.x:
[+] http://slf4j.org/log4shell.html

Atentamente,

Equipo CCN-CERT

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

 Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
       
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
 
Si desea cancelar su suscripción a estos boletines pinche aquí
 

 

CCN-CERT AL 09/21 Nuevos datos sobre vulnerabilidad en Apache Log4j 2 (15/12/2021)

 
Cabecera
separador
Nuevos datos sobre vulnerabilidad en Apache Log4j 2

Fecha de publicación: 15/12/2021
Nivel de peligrosidad: CRÍTICO

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa sobre la obtención de nuevos datos respecto a la vulnerabilidad que afecta a Apache Log4j 2.

Asociada a la vulnerabilidad CVE-2021-44228 se ha identificado la vulnerabilidad CVE-2021-45046 además de otra (CVE-2021-4104) sobre Apache Log4j 1.x con ciertos cambios aunque se encuentra relacionada y es explotable.

REYES

Conviene reseñar que ya se encuentran publicadas las listas negras asociadas a la vulnerabilidad Log4j en el apartado de descargas de REYES, con los siguientes nombres:

- Log4J_vuln_url.txt

- Log4J_vuln_sha256.txt

- Log4J_vuln_ip.txt

- Log4J_vuln__domain.txt

Adicionalmente en el Event ID 136982 de MISP se encuentra también incluida dicha información.

Por otra parte, en Red Hat pueden encontrar más información además de cuáles son las clases utilizadas y vulnerables:
[+] https://access.redhat.com/security/cve/CVE-2021-4104

Principalmente, se indica que se tenga en cuenta que este fallo SÓLO afecta a las aplicaciones que están configuradas específicamente para utilizar JMSAppender, que no lo es por defecto, o cuando el atacante tiene acceso de escritura a la configuración de Log4j para añadir JMSAppender al JMS Broker del atacante.

Cabe destacar que es una vulnerabilidad relacionada con JNDI.

Más información sobre la vulnerabilidad en la versión 1.x:
[+] http://slf4j.org/log4shell.html

Atentamente,

Equipo CCN-CERT

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

 Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
       
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
 
Si desea cancelar su suscripción a estos boletines pinche aquí
 

 

CCN-CERT AL 09/21 Actualización vulnerabilidad en Apache Log4j 2 (14/12/2021)

 
Cabecera
separador
Actualización vulnerabilidad en Apache Log4j 2

Fecha de publicación: 14/12/2021
Nivel de peligrosidad: CRÍTICO

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa sobre la publicación de actualizaciones de la vulnerabilidad que afecta a Apache Log4j 2.

Como se alertó el pasado viernes, 10 de diciembre, se ha hecho pública una vulnerabilidad que afecta a la librería de registro de Java Apache Log4j 2, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución, además, Log4j permite filtrar los mensajes en función de su importancia.

Nuevas recomendaciones:

  • Revisar si se está usando log4j
    • PowerShell
    • Linux
      • find / 2>/dev/null -regex ".*.jar" -type f | xargs -I{} grep JndiLookup.class "{}"
    • Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar a True.
  • Revisar si se ha tenido un aumento de conexiones DNS.
    • Los intentos durante el fin de semana se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS durante el pasado fin de semana puede ser indicativo de explotación exitosa
  • Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j
  • Revisar en logs los siguientes IOC:
    https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
    En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi”, se pueden apoyar en los siguientes scripts:
    https://github.com/Neo23x0/log4shell-detector/
  • Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.
  • Actualizar a la versión versión de Log4j, se ha publicado la versión 2.16 https://github.com/apache/logging-log4j2/blob/cffe58f6a433ea1ab60ceb129d4c9b3377acda1d/RELEASE-NOTES.md
  • La vulnerabilidad también se puede mitigar en versiones anteriores (sólo versión 2.10 y posteriores) estableciendo la propiedad del sistema "log4j2.formatMsgNoLookups" en "true" o eliminando la clase JndiLookup del classpath.
  • En caso de no poder aplicar las medidas anteriores Deshabilitar JNDI si no se está usando
  • En caso de no poder aplicar las medidas anteriores eliminar las clases JndiLookup y JndiManager de la biblioteca  log4j-core jar. La eliminación de  JndiManager causara que no funcione JndiContextSelector y  JMSAppender.

En caso de haber detectado la explotación de esta vulnerabilidad puede informar de ello en la siguiente dirección de correo electrónico: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. 

Posibles vectores de entrada

La vulnerabilidad puede ser explotada fácilmente en múltiples aplicaciones y servidores, una recopilación de aplicaciones comerciales afectadas es la siguiente https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

El exploit puede ser usado en campos propios de las aplicaciones de cada organismo usando los parámetros de comunicaciones o los datos de los formularios de la aplicación.

Se debe prestar especial atención a los siguientes parámetros de entrada de las aplicaciones con conexión a Internet:

  • X-Api-Version
  • User-Agent
  • Referer
  • X-Druid-Comment
  • Origin
  • Location
  • X-Forwarded-For
  • Cookie
  • X-Requested-With
  • X-Forwarded-Host
  • Accept

IOC

La lista de IOC se está ampliando según avanzan las investigaciones. Les sugerimos varios enlaces para actualizar listados de IPs que realizan escaneos activos e intentos de explotación de la vulnerabilidad:

https://community.riskiq.com/article/57abbfcf/indicators

https://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerability.html

Referencias:

Atentamente,

Equipo CCN-CERT

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

 Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
       
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
 
Si desea cancelar su suscripción a estos boletines pinche aquí
 

 

CCN-CERT AL 09/21 Actualización vulnerabilidad en Apache Log4j 2 (13/12/2021)

 
Cabecera
separador
Actualización vulnerabilidad en Apache Log4j 2

Fecha de publicación: 10/12/2021
Nivel de peligrosidad: CRÍTICO

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa sobre la publicación de actualizaciones de la vulnerabilidad que afecta a Apache Log4j 2.

Como se alertó el pasado viernes, 10 de diciembre, se ha hecho pública una vulnerabilidad que afecta a la librería de registro de Java Apache Log4j 2, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución, además, Log4j permite filtrar los mensajes en función de su importancia.

Nuevas recomendaciones:

  • Revisar si se está usando log4j
    • PowerShell
      • gci 'C:\' -rec -force -include *.jar -ea 0 | foreach {select-string "JndiLookup.class" $_} | select -exp Path
    • Linux
      • find / 2>/dev/null -regex ".*.jar" -type f | xargs -I{} grep JndiLookup.class "{}"
    • Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar a True.
  • Revisar si se ha tenido un aumento de conexiones DNS.
    • Los intentos durante el fin de semana se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS durante el pasado fin de semana puede ser indicativo de explotación exitosa
  • Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j

En caso de haber detectado la explotación de esta vulnerabilidad puede informar de ello en la siguiente dirección de correo electrónico: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. 

Referencias:

Atentamente,

Equipo CCN-CERT

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

 Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
       
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
 
Si desea cancelar su suscripción a estos boletines pinche aquí
 

 

CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2

 
Cabecera
separador
Vulnerabilidad en Apache Log4j 2

Fecha de publicación: 10/12/2021
Nivel de peligrosidad: CRÍTICO

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, alerta de la publicación de una vulnerabilidad que afecta a Apache Log4j 2.                       

Se ha hecho pública una vulnerabilidad que afecta a la librería de registro de Java Apache Log4j 2, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución, además, Log4j permite filtrar los mensajes en función de su importancia.

La vulnerabilidad, a la que se le ha asignado el CVE-2021-44228 y denominada  Log4Shell o LogJam, fue reportada el pasado 9 de diciembre por el ingeniero de ciberseguridad p0rz9, quien publicó un repositorio en GitHub anunciando su descubrimiento, así como una publicación en la red social Twitter en la que dio a conocer de manera pública la vulnerabilidad.

 

Imagen 1: Tweet haciendo público el descubrimiento de CVE-2021-44228

 

Una explotación exitosa de esta vulnerabilidad, que aprovecha una validación de entrada incorrecta al procesar solicitudes LDAP, podría permitir la ejecución remota de código (RCE), haciéndose cargo del servidor, por lo que se compromete por completo la confidencialidad e integridad de los datos, así como la disponibilidad del sistema.

Esta vulnerabilidad cobra relativa importancia puesto que Log4j 2 se usa ampliamente en muchas aplicaciones y está presente, como dependencia, en muchos servicios, incluyendo aplicaciones empresariales y servicios en la nube como Steam o Apple iCloud.

En adición a lo anterior, destacar que la librería Log4j 2 se utiliza con mucha frecuencia en el software empresarial Java. Debido a esta metodología de implementación, el impacto de esta vulnerabilidad es difícil de cuantificar. De manera similar a otras vulnerabilidades de perfil alto, como Heartbleed y Shellshock, se espera que se descubran un número cada vez mayor de productos vulnerables en las próximas semanas. Debido a la facilidad de explotación y la amplitud de la aplicabilidad, no sería de extrañar que los actores de ransomware comenzarán a aprovechar esta vulnerabilidad de inmediato.

La base de datos del NIST ha registrado esta vulnerabilidad, pero por el momento, no se le ha asignado puntuación de acuerdo a la escala CVSSv3. No obstante, ha sido calificada como crítica por su gran impacto en diversos sectores y porque se encuentran disponibles en Internet exploits accesibles para aprovechar esta vulnerabilidad. Además, se ha hecho pública una prueba de concepto disponible en el siguiente enlace:

Por último, el jefe de investigación de Nextron Systems, Florian Roth, ha compartido un conjunto de reglas YARA para  detectar intentos de explotación de esta vulnerabilidad:

Recursos afectados:      

La vulnerabilidad reportada afecta a las siguientes versiones:

  • Apache Log4 desde la versión 2.0 hasta la versión 2.14.1.

Solución a la vulnerabilidad:

Apache ha lanzado la versión Log4j 2.15.0 para abordar esta vulnerabilidad. Para más información sobre cómo instalar las actualizaciones y los distintas extensiones se dispone del siguiente enlace:

Recomendaciones:

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

La vulnerabilidad también se puede mitigar en versiones anteriores (sólo versión 2.10 y posteriores) estableciendo la propiedad del sistema "log4j2.formatMsgNoLookups" en "true" o eliminando la clase JndiLookup del classpath.

Si se está utilizando una versión anterior a la 2.10.0 y no se puede actualizar, existen dos opciones de mitigación:

  • Modificar el diseño de cada patrón de registro para cambiar %m{nolookups} por %m en los archivos de configuración de registro. En esta publicación se describen más a fondo los pasos a seguir.
  • Sustituir una implementación vacía o no vulnerable de la clase apache.logging.log4j.core.lookup.JndiLookup, de manera que su cargador de clases use el reemplazo en lugar de la versión vulnerable de la clase.

Referencias:

Atentamente,

Equipo CCN-CERT

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

 Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
       
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
 
Si desea cancelar su suscripción a estos boletines pinche aquí
 

 

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT