Muchas aplicaciones y servidores basados en Java son vulnerables al nuevo exploit de Log4Shell
Por qué es importante: a principios de esta semana, los desarrolladores de la plataforma de seguridad de código abierto LunaSec descubrieron una vulnerabilidad de día cero que afectaba a una biblioteca de registro basada en Java ampliamente utilizada. La vulnerabilidad, identificada en una publicación de blog como Log4Shell (CVE-2021-44228), puede brindar a terceros la capacidad de ejecutar código malicioso en sistemas vulnerables.
El descubrimiento de la vulnerabilidad se atribuye a los investigadores de LunaSec y Chen Zhaojun de Alibaba Cloud Security. Aprovecha una utilidad de registro basada en Apache ampliamente utilizada, log4j, para registrar datos del servidor con cargas maliciosas que desencadenan una serie de acciones para inyectar una carga útil secundaria. La carga útil secundaria permite la ejecución remota de código en el sistema afectado.
Los investigadores responsables de identificar la vulnerabilidad, descubierta inicialmente en los servidores de Minecraft, creen que cientos de miles de empresas y sistemas podrían estar en riesgo debido al uso generalizado del servicio de registro basado en Apache. Los analistas ya han identificado varias grandes empresas y servicios como vulnerables, incluidos Amazon, Apple, Elastic, Steam, Tencent y Twitter. El director de ciberseguridad de la Agencia de Seguridad Nacional, Robert Joyce, también confirmó que GHIDRA, la herramienta de ingeniería inversa de código abierto de la agencia, también se vio afectada.
LunaSec señala que cualquier persona que utilice el marco Apache Struts probablemente sea vulnerable. Una actualización posterior amplió la declaración, indicando que las versiones de JDK superiores a 6u211, 7u201, 8u191 y 11.01 no se ven afectadas por el vector basado en LDAP del ataque. Sin embargo, esto no significa que las versiones posteriores sean completamente inmunes, ya que aún se pueden emplear vectores de ataque alternativos para aprovechar la vulnerabilidad de Log4Shell para iniciar la ejecución remota de código.
El hallazgo de LunaSec y el CVE resultante brindan a los sistemas afectados pasos de mitigación temporales y permanentes para garantizar que el exploit no afecte negativamente a sus servidores y operaciones. Una versión actualizada del servicio log4j, v2.15.0, ha corregido el exploit y está disponible para su descarga. También se proporcionó mitigación temporal en el CVE para las organizaciones que no pueden actualizar su servicio log4j en este momento.
Crédito de la imagen: Markus Spiske