Blog

Log4Shell: Nuevo 0-day y exploit RCE en Apache Log4j (CVE-2021-44228)

Resumen ejecutivo

Hace un par de horas, apareció en Internet una vulnerabilidad de ejecución remota de código en Apache Log4j. Gracias a esta vulnerabilidad categorizada como de día cero, un atacante puede construir un paquete especial de solicitud de datos, que finalmente desencadena en la ejecución remota de código.

Millones de aplicaciones utilizan Log4j para el registro de eventos, y todo lo que el atacante necesita hacer es hacer que la aplicación registre una cadena especial. Hasta ahora, se ha confirmado que iCloud, Steam y hasta Minecraft son vulnerables.

Descripción de la vulnerabilidad

Apache Log4j es una herramienta de registro basada en el lenguaje de programación Java. Esta herramienta reescribe el marco Log4j e introduce un montón de características. El marco de registro se utiliza ampliamente en el desarrollo de sistemas empresariales para registrar información.

El 24 de noviembre de 2021, el equipo de seguridad de Alibaba Cloud informó oficialmente de la vulnerabilidad de ejecución remota de código de Apache Log4j. Debido a que algunas funciones de Apache Log4j tienen funciones de análisis recursivo, y gracias a esto, los atacantes pueden construir directamente solicitudes maliciosas para desencadenar vulnerabilidades de ejecución remota de código.

La explotación de la vulnerabilidad no requiere una configuración especial. Tras la verificación por parte del equipo de seguridad de Alibaba Cloud se ven afectados:

Versión afectada

  • 2.0 <= Apache log4j2 <= 2.14.1

Prueba de Concepto

https://twitter.com/P0rZ9/status/1468949890571337731

Explotación activa

Se ha iniciado la explotación masiva de esta vulnerabilidad principalmente por operadores de malware para el criptominado.

La gente de GreyNoise también ha publicado un listado de IP’s atacantes, las que corresponden principalmente a nodos de salida TOR:

https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217

Recomendaciones de Seguridad

Se recomienda encarecidamente a los encargados de sistemas que trabajen con Log4j2 el utilizar la última versión de este mismo, y también actualizar las aplicaciones y componentes que se sabe son vulnerables:

  • srping-boot-strater-log4j2
  • Apache Solr
  • Apache Flink
  • Apache Druid

Más información: https://logging.apache.org/log4j/2.x/download.html

Seguimiento de Log4Shell

Lunes 13 de Diciembre del 2021: La empresa Netlab tiene registro de que al menos 10 familias de Malware se encuentran explotando la vulnerabilidad de manera activa. A continuación se muestra el origen de los ataques.

Post original: https://blog.netlab.360.com/ten-families-of-malicious-samples-are-spreading-using-the-log4j2-vulnerability-now/

Martes 14 de Diciembre del 2021: Se descubre una nueva vulnerabilidad en Log4J 2.15.0, los desarrolladores han lanzado una nueva versión para mitigar dicha falla con la versión 2.16.0 ¡Parchear Ahora!

Más información: https://www.zdnet.com/article/second-log4j-vulnerability-found-apache-log4j-2-16-0-released/

Viernes 17 de Diciembre del 2021: Diferentes operadores de Ransomware han estado usando la vulnerabilidad para la implementación de payloads en dispositivos vulnerables.

Martes 22 de Diciembre del 2021: La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) anunció el lanzamiento de un escáner para identificar los servicios web afectados por dos vulnerabilidades de ejecución remota de código Apache Log4j, rastreadas como CVE-2021-44228 y CVE-2021-45046.

https://github.com/cisagov/log4j-scanner

Indicadores de Compromiso

En los siguientes enlaces se podrá obtener más información con respecto a los nuevos Indicadores de Compromisos que diferentes actores de amenazas están empleando para la ejecución de la vulnerabilidad presentada en este articulo.

Más información

https://github.com/tangxiaofeng7/apache-log4j-poc

https://github.com/advisories/GHSA-jfh8-c2jp-5v3q

https://www.lunasec.io/docs/blog/log4j-zero-day/

https://businessinsights.bitdefender.com/technical-advisory-zero-day-critical-vulnerability-in-log4j2-exploited-in-the-wild

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required