Segunda vulnerabilidad de Log4j descubierta, parche ya lanzado

El martes se encontró una segunda vulnerabilidad que involucra a Apache Log4j después de que los expertos en ciberseguridad pasaran días intentando parchear o mitigar CVE-2021-44228.

La descripción de la nueva vulnerabilidad, CVE 2021-45046, dice que la solución para abordar CVE-2021-44228 en Apache Log4j 2.15.0 estaba «incompleta en ciertas configuraciones no predeterminadas».

«Esto podría permitir a los atacantes… crear datos de entrada maliciosos utilizando un patrón de búsqueda JNDI que resultaría en un ataque de denegación de servicio (DOS)», dice la descripción de CVE.

Apache ya lanzó un parche, Log4j 2.16.0, para este problema. El CVE dice que Log4j 2.16.0 soluciona el problema al eliminar la compatibilidad con los patrones de búsqueda de mensajes y deshabilitar la funcionalidad JNDI de forma predeterminada. Señala que el problema se puede mitigar en versiones anteriores eliminando la clase JndiLookup del classpath.

John Bambenek, principal cazador de amenazas en Netenrich, dijo MarketingyPublicidad.es la solución es deshabilitar la funcionalidad JNDI por completo (que es el comportamiento predeterminado en la última versión).

«Al menos una docena de grupos están utilizando estas vulnerabilidades, por lo que se deben tomar medidas inmediatas para parchear, eliminar JNDI o sacarlo del classpath (preferiblemente todo lo anterior)», dijo Bambenek.

La falla original en Log4j, una biblioteca de Java para registrar mensajes de error en aplicaciones, ha dominado los titulares desde la semana pasada. Los exploits comenzaron el 1 de diciembre, según Cloudflare, y una alerta inicial de CERT Nueva Zelanda provocó otras de CISA y el Centro Nacional de Seguridad Cibernética del Reino Unido.

El Centro Nacional de Seguridad Cibernética de los Países Bajos publicó una larga lista de software que se ve afectado por la vulnerabilidad.

La compañía de seguridad internacional ESET publicó un mapa que muestra dónde se han realizado intentos de explotación de Log4j, con el mayor volumen en los EE. UU., el Reino Unido, Turquía, Alemania y los Países Bajos.

imagen001-4.png

ESET

«El volumen de nuestras detecciones confirma que es un problema a gran escala que no desaparecerá pronto», dijo Roman Kováč, director de investigación de ESET.

Muchas empresas ya están experimentando ataques que aprovechan la vulnerabilidad; plataforma de seguridad Armis dijo MarketingyPublicidad.es que detectó intentos de ataque log4shell en más de un tercio de sus clientes (35%). Los atacantes tienen como objetivo servidores físicos, servidores virtuales, cámaras IP, dispositivos de fabricación y sistemas de asistencia.

Deja un comentario