Apache Log4Shell | CVE-2021-44228 & CVE-2021-45046

Log4Shell la vulnerabilidad del 2021

Vulnerabilidad: Ejecución Remota de Código | Gravedad: Alta (5) | CVE: cve-2021-44228 | 0-DAY

Resumen Ejecutivo

El 24 de Noviembre del 2021 fue detectada una vulnerabilidad en Apache Log4j de ejecución remota de código la cual le permite a un atacante crear un paquete especial de solicitud de datos, el cual permite la ejecución remota de código. Apache Log4j es una biblioteca de código abierto desarrollada en Java por Apache Software Fundation con la finalidad de dejar registros de una determinada acción en tiempos de ejecución (logs).

Descripción de la Vulnerabilidad

El 24 de noviembre del 2021 el equipo de seguridad de Alibaba Cloud, informo sobre la vulnerabilidad de ejecución remota de código de Apache Log4j. Apache Log4j tiene funciones de análisis recursivo y gracias a esto los atacantes pueden construir directamente solicitudes maliciosas para desencadenar vulnerabilidad de ejecución remota de código.

Dentro de los principales afectados tenemos a:

• Apache Druid
• Apache Flink
• Apache Solr
• Apache Spark
• Apache Struts2
• Apache Tomcat

En la versión: 2.0 <= Apache Log4 <= 2.14.1

Paquetes Afectados:

• org.apache.logging.log4j:log4j-api | Versión afectada: < 2.15.0
• org.apache.logging.log4j:log4j-core  | Versión afectada: < 2.15.0

Solo la el paquete org.apache.logging.log4j:log4j-core es el afectado directamente, se incluye como paquete afectado al org.apache.logging.log4j:log4j-api con la finalidad de prevenir la desincronización.

Amenazas y Riesgos de Log4Shell

• Denegación de Servicio (DoS)
• Ejecución Remota de Código (Nivel Root o administrador)
• Ejecución Remota de Código (Nivel Usuario)
• Minado de Criptomonedas
• Infección por Ransomware

Indicadores de compromiso

• El NCSC-NL ha compartido en su repositorio de GitHub indicadores de compromiso de diferentes actores de amenaza. Link [ https://github.com/NCSC-NL/log4shell ]
• Centro de información de Log4Shell compatible con la red CSIRT. Link [ https://github.com/enisaeu/CNW/tree/main/log4shell ]
• Detección de explotación de la vulnerabilidad Log4Shell con la solución Elastic Security. Link [ https://www.elastic.co/es/blog/detecting-log4j2-with-elastic-security ]

Recomendaciones Generales de Seguridad y Mitigación

• Se recomienda a los encargados en sistemas que trabajan con Log4j así como los otros componentes implementar las nuevas actualizaciones.. Obtener ultimas versiones de Log4j (2.17.0), [ clic aquí ]
• El equipo de Servicios de registro de Apache proporcionó consejos de mitigación actualizados tras el lanzamiento de la versión 2.16.0, que deshabilita JNDI de forma predeterminada y elimina por completo el soporte para búsquedas de mensajes. [ LINK ]
• Log4j v1 esta a punto de terminar su vida ultil y presenta vectores de explotación RCE (Ejecución Remota de Código) sin embargo ya no recibirá parches de seguridad. Se recomienda migrar a Log4j v2 (Log4j 2.16.0).

Seguimiento de la vulnerabilidad (Actualizaciones)

• 13-12-2021 | Empresa Netlab tiene un registro de al menos 10 familias de Malware, explotan la vulnerabilidad Log4Shell de forma activa. [LINK]
• 14-12-2021 | La versión afectada de log4j es 2.14.0 o menores, los investigadores lanzan la versión 2.15.0 no mitiga al completo la vulnerabilidad y en la versión 2.16.0 se detecta la vulnerabilidad que le permite a un atacante realizar denegaciones de servicio (DoS).
• 17-12-2021 | Operadores de Ransomware usan la vulnerabilidad para implementar payloads en dispositivos vulnerables. [LINK], [LINK2]
• 19-12-2021 | Botnets utilizan la vulnerabilidad Log4Shell para propagarse mediante gusanos (worms). Lista de servidores maliciosos de la Botnet Mirai [LINK]

Descargar el Reporte

Nuestro equipo GRIDAR a publicado el reporte sobre la vulnerabilidad el cual se encuentra en su versión 3

DESCARGAR REPORTE