14 dic 2021

Segunda actualización para la vulnerabilidad de #Log4j #Log4Shell

Hoy se encontró una segunda vulnerabilidad en Apache Log4j, después de que los expertos en ciberseguridad pasaran días intentando parchear o mitigar CVE-2021-44228.

La descripción de la nueva vulnerabilidad, CVE 2021-45046, dice que "la corrección para abordar CVE-2021-44228 en Apache Log4j 2.15.0 estaba incompleta en ciertas configuraciones no predeterminadas. Esto podría permitir a los atacantes crear datos de entrada maliciosos utilizando un patrón de búsqueda JNDI que resulte en un ataque de denegación de servicio (DOS)", dice la descripción de CVE.


Hemos publicado un video del funcionamiento del exploit

Apache ya ha lanzado un parche, Log4j 2.16.0, para este problema. El CVE dice que Log4j 2.16.0 soluciona el problema al eliminar el soporte para patrones de búsqueda de mensajes y deshabilitar la funcionalidad JNDI de forma predeterminada. Señala que el problema se puede mitigar en versiones anteriores eliminando la clase JndiLookup del Classpath.

John Bambenek, principal cazador de amenazas de Netenrich, le dijo a ZDNet que la solución es deshabilitar la funcionalidad JNDI por completo (que es el comportamiento predeterminado en la última versión).

"Al menos una docena de grupos están usando estas vulnerabilidades, por lo que se deben tomar medidas inmediatas para parchear, eliminar JNDI o sacarlo del classpath (preferiblemente todo lo anterior)", dijo Bambenek.

Los exploits comenzaron a aparecer el pasado 1 de diciembre, según Cloudflare, y una alerta inicial de CERT Nueva Zelanda provocó otros por parte de CISA y el Centro Nacional de Seguridad Cibernética del Reino Unido. El Centro Nacional de Seguridad Cibernética de los Países Bajos publicó una larga lista de software que se ve afectado por la vulnerabilidad.

Muchas empresas ya están experimentando ataques que aprovechan la vulnerabilidad. La plataforma de seguridad Armis le dijo a ZDNet que detectó intentos de ataque Log4shell en más de un tercio de sus clientes (35%). Los atacantes tienen como objetivo servidores físicos, servidores virtuales, cámaras IP, dispositivos de fabricación y sistemas de asistencia.

Fuente: ZDNet

Suscríbete a nuestro Boletín

1 comentario:

  1. bloquear con iptables "JNDI" y "jndi" usando módulo string y el algoritmo kmp. Puede generar falsos positivos pero cuando no hay de otra

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!