El nuevo exploit de día cero para la biblioteca Java Log4j es una pesadilla empresarial
Las vulnerabilidades de prueba de concepto para una vulnerabilidad crítica de día cero en la omnipresente biblioteca de registros Apache Log4j basada en Java se están compartiendo actualmente en línea, lo que expone tanto a los usuarios domésticos como a las empresas a ataques continuos de ejecución remota de código.
Log4j es desarrollado por Apache Foundation y es ampliamente utilizado tanto por aplicaciones comerciales como por servicios en la nube.
Por lo tanto, si bien los usuarios domésticos pueden haberse alejado de Java (aunque los juegos populares como Minecraft todavía lo usan), cualquier cosa, desde software comercial hasta aplicaciones web y productos de Apple, Amazon, Cloudflare, Twitter y Steam, es probable que sea vulnerable a las vulnerabilidades. esta vulnerabilidad.
Escaneos en curso, explotación de sistemas vulnerables
El error, ahora registrado como CVE-2021-44228 y apodado Log4Shell o Atolladero, es una vulnerabilidad de RCE no autenticada que permite la captura completa del sistema en sistemas con Log4j 2.0-beta9 a 2.14.1.
El equipo de seguridad de Alibaba Cloud informó a Apache el 24 de noviembre. También revelaron que CVE-2021-44228 afecta las configuraciones predeterminadas de múltiples marcos de Apache, incluidos Apache Struts2, Apache Solr, Apache Druid, Apache Flink y otros.
Después de que ayer se publicara la primera vulnerabilidad de prueba de concepto en GitHub, los actores de amenazas comenzaron a rastrear Internet. [1, 2] para sistemas vulnerables a esta falla de seguridad explotable de forma remota que no requiere autenticación.
Además, CERT NZ (Equipo Nacional de Respuesta a Emergencias Cibernéticas de Nueva Zelanda) ha emitido una alerta de seguridad sobre la explotación activa en la naturaleza (también confirmada por Director de Ingeniería de la Coalición - Seguridad Tiago Henriques Y experto en seguridad Kevin Beaumont).
El jefe de investigación de Nextron Systems, Florian Roth, ha compartido un conjunto de reglas YARA para detectar intentos de explotación CVE-2021-44228.
Actividad de escaneo masivo detectada por múltiples servidores de monitoreo de hosts que usan Apache Log4j (biblioteca de registro de Java) vulnerable a la ejecución remota de código (https://t.co/GgksMUlf94).
Consulte nuestra API para "tags = CVE-2021-44228" para direcciones IP de origen y otras IOC. #amenaza
- Paquetes no válidos (@ bad_packages) 10 de diciembre de 2021
Parche y mitigación disponibles
Apache lanzó Log4j 2.15.0 para abordar la vulnerabilidad de gravedad máxima CVE-2021-44228 RCE.
La falla también se puede mitigar en versiones anteriores (2.10 y posteriores) estableciendo la propiedad del sistema "log4j2.formatMsgNoLookups" en "true" o eliminando la clase JndiLookup del classpath.
Se recomienda a quienes usan la biblioteca que actualicen a la última versión lo antes posible, ya que los atacantes ya están buscando objetivos explotables.
"De manera similar a otras vulnerabilidades de alto perfil como Heartbleed y Shellshock, creemos que se descubrirá un número cada vez mayor de productos vulnerables en las próximas semanas", dijo hoy el equipo de ataque Randori.
"Debido a la facilidad de explotación y la amplitud de aplicabilidad, sospechamos que los actores de ransomware comienzan a explotar esta vulnerabilidad de inmediato".
La empresa de seguridad Lunasec también destacó la gravedad de los ataques utilizando exploits CVE-2021-44228 RCE.
"Muchos, muchos servicios son vulnerables a este exploit. Los servicios en la nube como Steam, Apple iCloud y aplicaciones como Minecraft ya se han encontrado vulnerables", dijo Lunasec.
"Cualquiera que utilice Apache Struts probablemente sea vulnerable. Hemos visto vulnerabilidades similares previamente explotadas en brechas como la filtración de datos de Equifax de 2017".
Actualización 10 de diciembre, 11:46 am EST: Cloudflare le dijo a BleepingComputer que sus sistemas no son vulnerables a los intentos de explotación CVE-2021-44228.
"Respondimos rápidamente para evaluar todas las áreas de riesgo potenciales y actualizamos nuestro software para prevenir ataques y no pudimos replicar ninguna afirmación externa de que pudiéramos estar en riesgo", dijo Leigh Ann Acosta, directora de relaciones públicas de Cloudflare.