Los investigadores descubrieron una vulnerabilidad crítica en la biblioteca Apache Log4j, que obtiene una puntuación perfecta de 10 sobre 10 en CVSS. A continuación, le indicamos cómo proteger.
Varios medios de noticias de seguridad de la información informaron sobre el descubrimiento de una vulnerabilidad crítica CVE-2021-44228 en la biblioteca Apache Log4j (nivel de gravedad CVSS 10 sobre 10). Millones de aplicaciones Java utilizan esta biblioteca para registrar mensajes de error. Para empeorar las cosas, los atacantes ya están explotando activamente esta vulnerabilidad. Por esta razón, la Fundación Apache recomienda a todos los desarrolladores que actualicen la biblioteca a la versión 2.15.0, y si esto no es posible, utilicen uno de los métodos descritos en el Página Vulnerabilidades de seguridad de Apache Log4j.
Por qué CVE-2021-44228 es tan peligroso
CVE-2021-44228, también denominado Log4Shell o LogJam, es un Ejecución remota de código (RCE) vulnerabilidad de clase. Si los atacantes logran explotarlo en uno de los servidores, obtienen la capacidad de ejecutar código arbitrario y potencialmente tomar el control total del sistema.
Lo que hace que CVE-2021-44228 sea especialmente peligroso es la facilidad de explotación: incluso un hacker sin experiencia puede ejecutar con éxito un ataque utilizando esta vulnerabilidad. Según los investigadores, los atacantes solo necesitan forzar a la aplicación a escribir solo una cadena en el registro, y después de eso pueden cargar su propio código en la aplicación debido a la función de sustitución de búsqueda de mensajes.
Laborable Pruebas de concepto (PoC) para los ataques a través de CVE-2021-44228 ya están disponibles en Internet. Por lo tanto, no es sorprendente que las empresas de ciberseguridad ya estén registrando escaneos masivos de redes para aplicaciones vulnerables, así como ataques a honeypots.
Esta vulnerabilidad fue descubierta por Chen Zhaojun de Alibaba Cloud Security Team.
¿Qué es Apache Log4J y por qué esta biblioteca es tan popular?
Apache Log4j es parte del Apache Logging Project. En general, el uso de esta biblioteca es una de las formas más fáciles de registrar errores, y es por eso que la mayoría de los desarrolladores de Java la utilizan.
Muchas grandes compañías de software y servicios en línea utilizan la biblioteca Log4j, incluyendo Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter y muchos más. Debido a que la biblioteca es tan popular, algunos investigadores de seguridad de la información esperan un aumento significativo de los ataques a servidores vulnerables en los próximos días.
¿Qué versiones de la biblioteca Log4j son vulnerables y cómo proteger su servidor de ataques?
Casi todas las versiones de Log4j son vulnerables, desde 2.0-beta9 hasta 2.14.1. El método de protección más simple y efectivo es instalar la versión más reciente de la biblioteca, 2.15.0. Puedes descargarlo en el página del proyecto.
Si por alguna razón no es posible actualizar la biblioteca, Apache Foundation recomienda utilizar uno de los métodos de mitigación. En el caso de las versiones de Log4J de 2.10 a 2.14.1, aconsejan establecer la propiedad del sistema log4j2.formatMsgNoLookups o establecer la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS en true.
Para proteger versiones anteriores de Log4j (de 2.0-beta9 a 2.10.0), los desarrolladores de la biblioteca recomiendan eliminar la clase JndiLookup de la ruta de clases: zip -q -d log4j-core – *. Jar org / apache / logging / log4j / core / lookup / JndiLookup .class.
Además, recomendamos instalar soluciones de seguridad en sus servidores: en muchos casos, esto le permitirá detectar el lanzamiento de código malicioso y detener el desarrollo del ataque.
