LA VULNERABILIDAD MÁS CRITICA DE APACHE ESTÁ DEJANDO A TODO INTERNET EN PELIGRO
La Apache Software Foundation ha publicado correcciones para contener una vulnerabilidad de día cero que está siendo activamente explotada que afecta a la biblioteca de registro basada en “Java Apache Log4j”, ampliamente utilizada, y que podría ser utilizada como arma para ejecutar código malicioso y permitir la toma de control completa de los sistemas vulnerados.
El problema, identificado como CVE-2021-44228 y denominado Log4Shell o LogJam, se refiere a un caso de ejecución remota de código (RCE) sin autenticación en cualquier aplicación que utilice esta biblioteca. Afecta a las versiones Log4j 2.0-beta9 hasta la 2.14.1.
El fallo ha obtenido una puntuación perfecta de 10 sobre 10 en el sistema de clasificación CVSS, lo que indica la gravedad del problema.
“Un atacante que pueda controlar los mensajes de registro o los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de la búsqueda de mensajes está activada”, dijo la Fundación Apache en un aviso.
La explotación puede lograrse mediante una sola cadena de texto, que puede desencadenar una aplicación para llegar a un host externo malicioso si se registra a través de la instancia vulnerable de Log4j, otorgando efectivamente al adversario la capacidad de recuperar una carga útil de un servidor remoto y ejecutarla localmente. Los responsables del proyecto atribuyen a Chen Zhaojun, del equipo de seguridad de Alibaba Cloud, el descubrimiento del problema.
Log4j se utiliza como paquete de registro en diferentes programas populares de varios fabricantes, como Amazon, Apple iCloud, Cisco, Checkpoint, Fortinet, Palo Alto, Cloudflare, Red Hat, Steam, Tesla, Twitter y videojuegos como Minecraft. En el caso de este último, los atacantes han sido capaces de obtener RCE en los servidores de Minecraft simplemente pegando un mensaje especialmente diseñado en el cuadro de chat.
“La vulnerabilidad de día cero de Apache Log4j es probablemente la vulnerabilidad más crítica que hemos visto este año”, dijo Bharat Jogi, director senior de vulnerabilidades y firmas de Qualys. “Log4j es una biblioteca omnipresente utilizada por millones de aplicaciones Java para el registro de mensajes de error. Esta vulnerabilidad es trivial de explotar”.
Las empresas de ciberseguridad BitDefender, Cisco Talos, Huntress Labs y Sonatype han confirmado evidencias de escaneo masivo de aplicaciones afectadas en la naturaleza en busca de servidores vulnerables y ataques registrados contra sus redes de honeypot tras la disponibilidad de un exploit de prueba de concepto (PoC). “Se trata de un ataque de baja cualificación que es extremadamente sencillo de ejecutar”, declaró Ilkka Turunen, de Sonatype.
Dada la facilidad de explotación y la prevalencia de Log4j en las empresas de TI y DevOps, se espera que en los próximos días se intensifiquen los ataques dirigidos a los servidores susceptibles, por lo que es imperativo solucionar el fallo de inmediato.
“Esta vulnerabilidad de Log4j (CVE-2021-44228) es extremadamente mala. Millones de aplicaciones utilizan Log4j para el registro, y todo lo que el atacante tiene que hacer es conseguir que la aplicación registre una cadena especial”, dijo el experto en seguridad Marcus Hutchins en un tweet.
Equipos vulnerables:
Amazon
https://aws.amazon.com/fr/security/security-bulletins/AWS-2021-006/
Apache Solr
https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228
Aruba
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2021-019.txt
Calico
https://www.tigera.io/security-bulletins/
Cisco
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
ConnectWise
https://www.connectwise.com/company/trust/advisories
cPanel
https://forums.cpanel.net/threads/log4j-cve-2021-44228-does-it-affect-cpanel.696249/
Debian
https://www.debian.org/lts/security/2021/dla-2842
https://www.debian.org/security/2021/dsa-5020
Docker
https://docs.docker.com/desktop/windows/release-notes/
F-Secure
Fortinet
https://www.fortiguard.com/psirt/FG-IR-21-245
Ghidra
Gradle
https://security.gradle.com/advisory/2021-11
HP
https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbgn04215en_us
IBM
https://www.ibm.com/support/pages/node/6525706
https://www.ibm.com/support/pages/node/6525816
InfiniSpan
https://issues.redhat.com/secure/ReleaseNote.jspa?projectId=12310799&version=12377459
JavaMelody
https://github.com/javamelody/javamelody/wiki/ReleaseNotes#1890
Juniper
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11259
Mitel
https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-21-0010
MongoDB
https://www.mongodb.com/blog/post/log4shell-vulnerability-cve-2021-44228-and-mongodb
NetApp
https://security.netapp.com/advisory/ntap-20211210-0007/
Nutanix
https://download.nutanix.com/alerts/Security_Advisory_0023.pdf
Okta
https://sec.okta.com/articles/2021/12/log4shell
OneSpan
https://www.onespan.com/remote-code-execution-vulnerability-in-log4j2-cve-2018-11776
Oracle
https://www.oracle.com/security-alerts/alert-cve-2021-44228.html
OWASP Foundation
https://www.zaproxy.org/blog/2021-12-10-zap-and-log4shell/
Polycom
Puppet Enterprise
https://puppet.com/security/cve/cve-2021-44228
Red Hat
https://access.redhat.com/security/cve/cve-2021-44228
Riverbed
https://supportkb.riverbed.com/support/index?page=content&id=S35645&actp=LIST_RECENT
Ruckus
https://support.ruckuswireless.com/security_bulletins/313
Schneider Electric
https://download.schneider-electric.com/files?p_Doc_Ref=SESB-2021-347-01
Siemens
https://cert-portal.siemens.com/productcert/pdf/ssa-661247.pdf
Solarwinds
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-44228
SonicWall
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0032
Sophos
https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce
Splunk
Suse
https://www.suse.com/security/cve/CVE-2021-44228.html
Trend Micro
https://success.trendmicro.com/solution/000289940
Ubiquiti
Vmware
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
Zoho
Zscaler
https://trust.zscaler.com/posts/9581
Others products
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592