CISA lanza el escáner Apache Log4j para encontrar aplicaciones vulnerables

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha Anunciado el lanzamiento de un escáner para identificar los servicios web afectados por dos vulnerabilidades de ejecución remota de código Apache Log4j, rastreadas como CVE-2021-44228 y CVE-2021-45046.

"log4j-scanner es un proyecto derivado de otros miembros de la comunidad de código abierto del equipo Rapid Action Force de CISA para ayudar a las organizaciones a identificar servicios web potencialmente vulnerables afectados por las vulnerabilidades log4j", explica la agencia de ciberseguridad.

Esta solución de escaneo se basa en herramientas similares, incluido un marco de escaneo automatizado para el error CVE-2021-44228 (apodado y Log4Shell) y desarrollado por la compañía de ciberseguridad FullHunt.

La herramienta permite a los equipos de seguridad escanear hosts de red en busca de exposición a Log4j RCE e identificar omisiones del Firewall de aplicaciones web (WAF) que pueden permitir que las amenazas hagan que su código se ejecute.

CISA destaca las siguientes características en la página del proyecto del escáner log4j:

• Soporte para listas de URL.
• Fuzzing para más de 60 encabezados de solicitud HTTP (no solo 3-4 encabezados como las herramientas que se ven arriba).
• Fuzzing para parámetros de datos HTTP POST.
• Fuzzing para parámetros de datos JSON.
• Admite devolución de llamada de DNS para el descubrimiento y la validación de vulnerabilidades.
• Carga útil de WAF Bypass.

Respuesta Log4Shell de CISA

Este es solo el último paso que ha tomado CISA para ayudar a las organizaciones gubernamentales y privadas a responder a los ataques en curso que abusan de estos agujeros de seguridad críticos en la biblioteca de registros Log4j de Apache.

La agencia también estuvo detrás de una advertencia conjunta emitida hoy por agencias de ciberseguridad de todo el mundo y agencias federales de EE. UU. Con una guía de mitigación para abordar las vulnerabilidades CVE-2021-44228, CVE-2021-45046 y CVE-2021. -45105 Log4j.

CISA también está promoviendo el parcheo inmediato de los dispositivos vulnerables a los ataques Log4Shell para bloquear los intentos de las amenazas de explotar los sistemas Log4Shell vulnerables e infectarlos con malware.

El viernes, CISA ordenó a las agencias del poder ejecutivo federal civil que parcheen sus sistemas contra Log4Shell hasta el 23 de diciembre. La agencia de ciberseguridad también agregó recientemente la falla al catálogo de vulnerabilidades explotadas conocidas, por lo que también requirió una acción rápida por parte de las agencias federales para mitigar esta falla crítica hasta el 24 de diciembre.

Como informó BleepingComputer, los ataques Log4Shell fueron orquestados por atacantes con motivaciones financieras que empleaban a los mineros de Monero, bandas de ransomware [1, 2]e incluso piratas informáticos respaldados por el estado.

También tenemos artículos con más información sobre la vulnerabilidad de Log4Shell, una lista completa de alertas de proveedores y productos vulnerables, y por qué debería actualizar a Log4j2.17.0 lo antes posible.