Resumen ejecutivo
Hace un par de horas, apareció en Internet una vulnerabilidad de ejecución remota de código en Apache Log4j. Gracias a esta vulnerabilidad categorizada como de día cero, un atacante puede construir un paquete especial de solicitud de datos, que finalmente desencadena en la ejecución remota de código.
Millones de aplicaciones utilizan Log4j para el registro de eventos, y todo lo que el atacante necesita hacer es hacer que la aplicación registre una cadena especial. Hasta ahora, se ha confirmado que iCloud, Steam y hasta Minecraft son vulnerables.
Descripción de la vulnerabilidad
Apache Log4j es una herramienta de registro basada en el lenguaje de programación Java. Esta herramienta reescribe el marco Log4j e introduce un montón de características. El marco de registro se utiliza ampliamente en el desarrollo de sistemas empresariales para registrar información.
El 24 de noviembre de 2021, el equipo de seguridad de Alibaba Cloud informó oficialmente de la vulnerabilidad de ejecución remota de código de Apache Log4j. Debido a que algunas funciones de Apache Log4j tienen funciones de análisis recursivo, y gracias a esto, los atacantes pueden construir directamente solicitudes maliciosas para desencadenar vulnerabilidades de ejecución remota de código.
La explotación de la vulnerabilidad no requiere una configuración especial. Tras la verificación por parte del equipo de seguridad de Alibaba Cloud se ven afectados:
Versión afectada
- 2.0 <= Apache log4j2 <= 2.14.1
Prueba de Concepto
Log4j2 Everything!😂😂😂😂
— Richard (@richardtayx) December 9, 2021
Please repair it as soon as possible! pic.twitter.com/p3GkGkSoet
https://twitter.com/P0rZ9/status/1468949890571337731
Explotación activa
Se ha iniciado la explotación masiva de esta vulnerabilidad principalmente por operadores de malware para el criptominado.
🚨 Explotación activa de RCE #Log4Shell aka CVE-2021-44228.
— Germán Fernández 🇨🇱 (@1ZRR4H) December 10, 2021
IP origen: 45.155.205.233 (🇷🇺)
🥇 #cryptominers
Más información sobre esta amenaza: https://t.co/RO4jtSGPle#exploit pic.twitter.com/1PfC4fTWDf
La gente de GreyNoise también ha publicado un listado de IP’s atacantes, las que corresponden principalmente a nodos de salida TOR:
https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
Recomendaciones de Seguridad
Se recomienda encarecidamente a los encargados de sistemas que trabajen con Log4j2 el utilizar la última versión de este mismo, y también actualizar las aplicaciones y componentes que se sabe son vulnerables:
- srping-boot-strater-log4j2
- Apache Solr
- Apache Flink
- Apache Druid
Más información: https://logging.apache.org/log4j/2.x/download.html
Seguimiento de Log4Shell
Lunes 13 de Diciembre del 2021: La empresa Netlab tiene registro de que al menos 10 familias de Malware se encuentran explotando la vulnerabilidad de manera activa. A continuación se muestra el origen de los ataques.
Post original: https://blog.netlab.360.com/ten-families-of-malicious-samples-are-spreading-using-the-log4j2-vulnerability-now/

Martes 14 de Diciembre del 2021: Se descubre una nueva vulnerabilidad en Log4J 2.15.0, los desarrolladores han lanzado una nueva versión para mitigar dicha falla con la versión 2.16.0 ¡Parchear Ahora!
Más información: https://www.zdnet.com/article/second-log4j-vulnerability-found-apache-log4j-2-16-0-released/
Viernes 17 de Diciembre del 2021: Diferentes operadores de Ransomware han estado usando la vulnerabilidad para la implementación de payloads en dispositivos vulnerables.
Two #Log4Shell exploits used by ransomware 🔥
— Germán Fernández 🇨🇱 (@1ZRR4H) December 17, 2021
1.- CONTI -> #VMware #vCenter
GET /websso/SAML2/SLO/vsphere.local?SAMLRequest=
X-Forwarded-For:$Phttps://t.co/eMFfPbavo9
2.- TellYouThePass -> #Apache #Sorl
GET /solr/admin/cores?action=CREATE&name=$Phttps://t.co/WDanE1fjpJ pic.twitter.com/fcswzAK69h
Martes 22 de Diciembre del 2021: La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) anunció el lanzamiento de un escáner para identificar los servicios web afectados por dos vulnerabilidades de ejecución remota de código Apache Log4j, rastreadas como CVE-2021-44228 y CVE-2021-45046.
We published an open-sourced log4j-scanner derived from scanners created by other members of the open-source community. This tool is intended to help organizations identify potentially vulnerable web services affected by the log4j vulnerabilities: https://t.co/af8uszW8K4
— Cybersecurity and Infrastructure Security Agency (@CISAgov) December 21, 2021
https://github.com/cisagov/log4j-scanner
Indicadores de Compromiso
En los siguientes enlaces se podrá obtener más información con respecto a los nuevos Indicadores de Compromisos que diferentes actores de amenazas están empleando para la ejecución de la vulnerabilidad presentada en este articulo.
Más información
https://github.com/tangxiaofeng7/apache-log4j-poc
https://github.com/advisories/GHSA-jfh8-c2jp-5v3q
https://www.lunasec.io/docs/blog/log4j-zero-day/

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.