{"id":5445,"date":"2022-01-12T10:37:13","date_gmt":"2022-01-12T15:37:13","guid":{"rendered":"https:\/\/etek.com\/es\/?p=5445"},"modified":"2022-01-12T10:37:13","modified_gmt":"2022-01-12T15:37:13","slug":"nueva-vulnerabilidad-en-log4j","status":"publish","type":"post","link":"https:\/\/etek.com\/es\/nueva-vulnerabilidad-en-log4j\/","title":{"rendered":"Nueva vulnerabilidad en Log4j"},"content":{"rendered":"<p>Esta semana, <strong>Apache Software Foundation <\/strong>emiti\u00f3 un nuevo conjunto de parches con el fin de abordar las fallas de <strong>ejecuci\u00f3n remota de c\u00f3digo (RCE) <\/strong>en Log4j, las cuales podr\u00edan ser explotadas por actores de amenazas para comprometer los sistemas vulnerables. Identificada como <strong><em>CVE-2021-44832<\/em><\/strong>, esta falla recibi\u00f3 un puntaje de 6.6\/10 en la escala del <strong>Common Vulnerability Scoring System (CVSS) <\/strong>y reside en todas las versiones de Log4j desde 2.0-alpha7.<br \/>\nSeg\u00fan el reporte, estas versiones son vulnerables a la ejecuci\u00f3n remota de c\u00f3digo cuando un atacante con permisos para modificar el archivo de configuraci\u00f3n de registro puede construir una configuraci\u00f3n empleando un <strong>Appender JDBC <\/strong>con una fuente de datos haciendo referencia a un UEI JNDI capaz de ejecutar c\u00f3digo remoto.<\/p>\n<figure>\n\t\t\t\t\t\t\t\t\t\t<img loading=\"lazy\" decoding=\"async\" width=\"364\" height=\"244\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/01\/Nueva-vulnerabilidad-en-Log4j-1.png\" alt=\"\" loading=\"lazy\"><figcaption>Como se realiza el ataque log4shell<\/figcaption><\/figure>\n<figure>\n\t\t\t\t\t\t\t\t\t\t<img loading=\"lazy\" decoding=\"async\" width=\"360\" height=\"279\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/01\/Nueva-vulnerabilidad-en-Log4j-2.png\" alt=\"\" loading=\"lazy\"><figcaption>Top 20 de pa\u00edses con mayores intentos de ataques aprovechando la vulnerabilidad (Fuente ESET)<\/figcaption><\/figure>\n<p>Aunque Apache no acredit\u00f3 a nadie el reporte, el investigador Yaniv Nizry asegura haber presentado este informe: \u201cEsta es una vulnerabilidad m\u00e1s compleja que la original CVE-2021-44228, pues requiere que los actores de amenazas tengan control sobre la configuraci\u00f3n. A diferencia de Logback, en Log4j hay una funci\u00f3n para cargar un archivo de configuraci\u00f3n remota, por lo que se podr\u00eda ejecutar c\u00f3digo arbitrario mediante un ataque <strong>Man-in-The-Middle (MitM)<\/strong>\u201c, se\u00f1ala el experto.<br \/>\nLa publicaci\u00f3n de estos parches significa la quinta ocasi\u00f3n en que se aborda un problema de seguridad en Log4j desde el hallazgo de la peligrosa vulnerabilidad Log4Shell. Las fallas corregidas hasta el momento son:<\/p>\n<ul>\n<li><strong><em>CVE-2021-44228<\/em><\/strong>: Error de ejecuci\u00f3n remota de c\u00f3digo que afecta a las versiones de Log4j de 2.0-beta9 a 2.14.1.<\/li>\n<li><strong><em>CVE-2021-45046<\/em><\/strong>: Vulnerabilidad de filtraci\u00f3n de informaci\u00f3n y ejecuci\u00f3n remota de c\u00f3digo que afecta a las versiones<br \/>\nde Log4j de 2.0-beta9 a 2.15.0.<\/li>\n<li><strong><em>CVE-2021-45105<\/em><\/strong>: Falla de denegaci\u00f3n de servicio (DoS) que afecta a las versiones de Log4j de 2.0-beta9 a 2.16.0.<\/li>\n<li><strong><em>CVE-2021-4104<\/em><\/strong>: Error de deserializaci\u00f3n no confiable que afecta a la versi\u00f3n 1.2 de Log4j.<\/li>\n<\/ul>\n<p>Los problemas relacionados con Log4j no han hecho m\u00e1s que empeorar; hace un par de d\u00edas, los gobiernos de Estados Unidos, Reino Unido, Australia y Canad\u00e1 emitieron una alerta conjunta sobre la explotaci\u00f3n masiva de las vulnerabilidades<br \/>\ndetectadas en esta biblioteca, por lo que el panorama luce poco alentador para los administradores de sistemas.<\/p>\n<figure>\n\t\t\t\t\t\t\t\t\t\t<img loading=\"lazy\" decoding=\"async\" width=\"191\" height=\"193\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/01\/Nueva-vulnerabilidad-en-Log4j-3.png\" alt=\"\" loading=\"lazy\"><figcaption>Flujo para identificaci\u00f3n de aplicaciones vulnerables (Fuente CISA)<\/figcaption><\/figure>\n<p><strong>Conclusi\u00f3n<\/strong><strong><br \/>\n<\/strong>Las vulnerabilidades de Log4j han generado un impacto global significativo, similar al de anteriores amenazas importantes, como Wannacry, Heartbleed y Shellshock. Debido a su amplio despliegue, se espera que las secuelas de esta vulnerabilidad duren un tiempo considerable, esto debido a que muchas aplicaciones empresariales y servicios en la nube requieren ser actualizados y estos procesos suelen ser de complejidad media a alta. Si bien el mundo a\u00fan no ha visto<br \/>\nning\u00fan evento masivo de entrega de malware (ransomware, gusanos), troyanos, backdoors, etc.) que aprovechen las vulnerabilidades de Log4j, se debe estar muy atento a los comunicados publicados por parte del fabricante y una posible<br \/>\nactualizaci\u00f3n a una versi\u00f3n que pueda mitigar dichas vulnerabilidades.<\/p>\n<p><strong>Recomendaciones<br \/>\n<\/strong>Se recomienda validar junto con fabricantes que sistemas de los utilizados puedan estar siendo vulnerables y la forma de ejecutar los parches correspondientes, mantener al d\u00eda las firmas de IPS y\/o Anti-Malware para que ayuden a<br \/>\ndetectar tr\u00e1fico o comportamientos relacionados, otras recomendaciones incluyen los siguientes pasos:<\/p>\n<ul>\n<li>Desactivar el software que utilice esta librer\u00eda.<\/li>\n<li>Bloquear las b\u00fasquedas JNDI.<\/li>\n<li>Desconectar temporalmente las infraestructuras afectadas.<\/li>\n<li>Crear una red aislada para separar las infraestructuras afectadas del resto de la red de la entidad.<\/li>\n<li>Desplegar un WAF para proteger a las infraestructuras afectadas.<\/li>\n<\/ul>\n<p>Los siguientes scripts pueden ser usados para identificar y detectar posibles intentos de explotaci\u00f3n de las vulnerabilidades relacionadas.<\/p>\n<p><strong>Linux:<\/strong><\/p>\n<ul>\n<li>Script para detecci\u00f3n del uso de Log4j: sudo grep -r &#8211;include &#8220;*.jar&#8221; JndiLookup.class \/<\/li>\n<li>Detecci\u00f3n posible explotaci\u00f3n: sudo egrep -I -i -r &#8216;$({|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):\/[^n]+&#8217; \/var\/log<\/li>\n<li>Detecci\u00f3n posible explotaci\u00f3n: sudo find \/var\/log -name *.gz -print0 | xargs -0 zgrep -E -i &#8216;$({|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):\/[^n]+<\/li>\n<\/ul>\n<p><strong>Windows:<\/strong><\/p>\n<ul>\n<li>Script para detecci\u00f3n del uso de Log4j: findstr \/s \/i \/c:&#8221;JndiLookup.class&#8221; C:*.jar<\/li>\n<\/ul>\n<p><strong>Para m\u00e1s informaci\u00f3n puede consultar las siguientes fuentes asociadas a la noticia:<\/strong><\/p>\n<ul>\n<li><a href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/critical-apache-log4j-log4shell-vulnerability-what-you-need-to-know\">https:\/\/www.fortinet.com\/blog\/threat-research\/critical-apache-log4j-log4shell-vulnerability-what-you-need-to-know<\/a><\/li>\n<li><a href=\"https:\/\/logging.apache.org\/log4j\/2.x\/security.html#CVE-2021-44832\">https:\/\/logging.apache.org\/log4j\/2.x\/security.html#CVE-2021-44832<\/a><\/li>\n<li><a href=\"https:\/\/issues.apache.org\/jira\/browse\/LOG4J2-3293\">https:\/\/issues.apache.org\/jira\/browse\/LOG4J2-3293<\/a><\/li>\n<li><a href=\"https:\/\/www.eset.com\/blog\/business\/log4shell-eset-blocks-hundreds-of-thousands-of-attack-attempts\/\">https:\/\/www.eset.com\/blog\/business\/log4shell-eset-blocks-hundreds-of-thousands-of-attack-attempts\/<\/a><\/li>\n<li><a href=\"https:\/\/www.bankinfosecurity.com\/apaches-log4j-version-2171-addresses-new-flaw-a-18214\">https:\/\/www.bankinfosecurity.com\/apaches-log4j-version-2171-addresses-new-flaw-a-18214<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-44832\">https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-44832<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Esta semana, Apache Software Foundation emiti\u00f3 un nuevo conjunto de parches con el fin de abordar las fallas de ejecuci\u00f3n remota de c\u00f3digo (RCE) en Log4j, las cuales podr\u00edan ser explotadas por actores de amenazas para comprometer los sistemas vulnerables. Identificada como CVE-2021-44832, esta falla recibi\u00f3 un puntaje de 6.6\/10 en la escala del Common [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":5456,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/5445"}],"collection":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/comments?post=5445"}],"version-history":[{"count":0,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/5445\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/media?parent=5445"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/categories?post=5445"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/tags?post=5445"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}