LA VULNERABILIDAD MÁS CRITICA DE APACHE ESTÁ DEJANDO A TODO INTERNET EN PELIGRO

La Apache Software Foundation ha publicado correcciones para contener una vulnerabilidad de día cero que está siendo activamente explotada que afecta a la biblioteca de registro basada en “Java Apache Log4j”, ampliamente utilizada, y que podría ser utilizada como arma para ejecutar código malicioso y permitir la toma de control completa de los sistemas vulnerados.

El problema, identificado como CVE-2021-44228 y denominado Log4Shell o LogJam, se refiere a un caso de ejecución remota de código (RCE) sin autenticación en cualquier aplicación que utilice esta biblioteca. Afecta a las versiones Log4j 2.0-beta9 hasta la 2.14.1.
El fallo ha obtenido una puntuación perfecta de 10 sobre 10 en el sistema de clasificación CVSS, lo que indica la gravedad del problema.

“Un atacante que pueda controlar los mensajes de registro o los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de la búsqueda de mensajes está activada”, dijo la Fundación Apache en un aviso.

La explotación puede lograrse mediante una sola cadena de texto, que puede desencadenar una aplicación para llegar a un host externo malicioso si se registra a través de la instancia vulnerable de Log4j, otorgando efectivamente al adversario la capacidad de recuperar una carga útil de un servidor remoto y ejecutarla localmente. Los responsables del proyecto atribuyen a Chen Zhaojun, del equipo de seguridad de Alibaba Cloud, el descubrimiento del problema.
Log4j se utiliza como paquete de registro en diferentes programas populares de varios fabricantes, como Amazon, Apple iCloud, Cisco, Checkpoint, Fortinet, Palo Alto, Cloudflare, Red Hat, Steam, Tesla, Twitter y videojuegos como Minecraft. En el caso de este último, los atacantes han sido capaces de obtener RCE en los servidores de Minecraft simplemente pegando un mensaje especialmente diseñado en el cuadro de chat.

“La vulnerabilidad de día cero de Apache Log4j es probablemente la vulnerabilidad más crítica que hemos visto este año”, dijo Bharat Jogi, director senior de vulnerabilidades y firmas de Qualys. “Log4j es una biblioteca omnipresente utilizada por millones de aplicaciones Java para el registro de mensajes de error. Esta vulnerabilidad es trivial de explotar”.

Las empresas de ciberseguridad BitDefender, Cisco Talos, Huntress Labs y Sonatype han confirmado evidencias de escaneo masivo de aplicaciones afectadas en la naturaleza en busca de servidores vulnerables y ataques registrados contra sus redes de honeypot tras la disponibilidad de un exploit de prueba de concepto (PoC). “Se trata de un ataque de baja cualificación que es extremadamente sencillo de ejecutar”, declaró Ilkka Turunen, de Sonatype.

Dada la facilidad de explotación y la prevalencia de Log4j en las empresas de TI y DevOps, se espera que en los próximos días se intensifiquen los ataques dirigidos a los servidores susceptibles, por lo que es imperativo solucionar el fallo de inmediato.

“Esta vulnerabilidad de Log4j (CVE-2021-44228) es extremadamente mala. Millones de aplicaciones utilizan Log4j para el registro, y todo lo que el atacante tiene que hacer es conseguir que la aplicación registre una cadena especial”, dijo el experto en seguridad Marcus Hutchins en un tweet.

Equipos vulnerables:

Amazon

https://aws.amazon.com/fr/security/security-bulletins/AWS-2021-006/

Apache Solr 
https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228

Aruba

https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2021-019.txt

Broadcom 
https://support.broadcom.com/security-advisory/content/security-advisories/Broadcom-Enterprise-Software-Security-Advisory-for-Log4j-2-CVE-2021-44228-Vulnerability/ESDSA19792

https://www.broadcom.com/support/fibre-channel-networking/security-advisories/brocade-security-advisory-2021-1651

Calico

https://www.tigera.io/security-bulletins/

Cisco 
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd

ConnectWise

https://www.connectwise.com/company/trust/advisories

cPanel

https://forums.cpanel.net/threads/log4j-cve-2021-44228-does-it-affect-cpanel.696249/

Debian 
https://www.debian.org/lts/security/2021/dla-2842
https://www.debian.org/security/2021/dsa-5020

Docker 
https://docs.docker.com/desktop/windows/release-notes/

Elastic 
https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476

F-Secure

https://community.f-secure.com/common-business-en/kb/articles/9226-the-log4j-vulnerability-cve-2021-44228-which-f-secure-products-are-affected-what-it-means-what-steps-should-you-take

Fortinet 
https://www.fortiguard.com/psirt/FG-IR-21-245

Ghidra

https://htmlpreview.github.io/?https://github.com/NationalSecurityAgency/ghidra/blob/Ghidra_10.1_build/Ghidra/Configurations/Public_Release/src/global/docs/ChangeHistory.html

Gradle

https://security.gradle.com/advisory/2021-11

HP

https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbgn04215en_us

IBM 
https://www.ibm.com/support/pages/node/6525706

https://www.ibm.com/support/pages/node/6525816

InfiniSpan

https://issues.redhat.com/secure/ReleaseNote.jspa?projectId=12310799&version=12377459

JavaMelody 
https://github.com/javamelody/javamelody/wiki/ReleaseNotes#1890

Juniper

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11259

Mitel

https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-21-0010

MongoDB

https://www.mongodb.com/blog/post/log4shell-vulnerability-cve-2021-44228-and-mongodb

NetApp

https://security.netapp.com/advisory/ntap-20211210-0007/

Nutanix 
https://download.nutanix.com/alerts/Security_Advisory_0023.pdf

Okta

https://sec.okta.com/articles/2021/12/log4shell

OneSpan

https://www.onespan.com/remote-code-execution-vulnerability-in-log4j2-cve-2018-11776

Oracle

https://www.oracle.com/security-alerts/alert-cve-2021-44228.html

OWASP Foundation

https://www.zaproxy.org/blog/2021-12-10-zap-and-log4shell/

Polycom

https://support.polycom.com/content/dam/polycom-support/global/documentation/plygn21-08-poly-systems-apache.pdf

Puppet Enterprise 
https://puppet.com/security/cve/cve-2021-44228

Red Hat 
https://access.redhat.com/security/cve/cve-2021-44228

Riverbed

https://supportkb.riverbed.com/support/index?page=content&id=S35645&actp=LIST_RECENT

Ruckus

https://support.ruckuswireless.com/security_bulletins/313

Schneider Electric

https://download.schneider-electric.com/files?p_Doc_Ref=SESB-2021-347-01

Siemens

https://cert-portal.siemens.com/productcert/pdf/ssa-661247.pdf

Solarwinds 
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-44228

SonicWall 
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0032

Sophos 
https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce

Splunk

https://www.splunk.com/en_us/blog/bulletins/splunk-security-advisory-for-apache-log4j-cve-2021-44228.html

Suse 
https://www.suse.com/security/cve/CVE-2021-44228.html

Symantec 
https://support.broadcom.com/security-advisory/content/security-advisories/Symantec-Security-Advisory-for-Log4j-2-CVE-2021-44228-Vulnerability/SYMSA19793

Trend Micro 
https://success.trendmicro.com/solution/000289940

Ubiquiti

https://community.ui.com/releases/UniFi-Network-Application-6-5-54/d717f241-48bb-4979-8b10-99db36ddabe1

https://community.ui.com/releases/Security-Advisory-Bulletin-023-023/808a1db0-5f8e-4b91-9097-9822f3f90207

Vmware 
https://www.vmware.com/security/advisories/VMSA-2021-0028.html

Zoho

https://pitstop.manageengine.com/portal/en/community/topic/apache-log4j-vulnerability-cve-2021-44228-1

Zscaler

https://trust.zscaler.com/posts/9581

Others products
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592