El parche Log4J para corregir el día cero grave tiene su propia vulnerabilidad que ya se explota activamente

Facepalm: las vulnerabilidades de Log4J que han estado afectando a los administradores de servidores durante la última semana continúan, ya que el parche emitido para bloquear las intrusiones parece tener fallas de seguridad propias. Algunas empresas que ya habían actualizado a Log4J 2.15.0 han seguido sufriendo ataques de al menos una de las dos nuevas debilidades encontradas.

La semana pasada, los investigadores de seguridad notificaron a los desarrolladores que habían descubierto una vulnerabilidad de día cero explotada activamente en el marco Apache Struts. La falla estaba en la utilidad de registro Log4J. La Fundación Apache emitió una solución con la versión 2.15.0 y reveló públicamente la debilidad durante el fin de semana.

Durante las 72 horas posteriores a la publicación de la actualización, la explotación de la falla se disparó, y los investigadores rastrearon hasta 100 ataques por minuto y casi un millón de incidentes en total. Grandes empresas, incluidas Apple, Amazon, Cisco y otras, se apresuraron a tapar el agujero.

Casi tan pronto como los sistemas instalaban Log4J 2.15.0, las empresas de seguridad Praetorian y Cloudflare comenzaron a detectar ataques activos en los sistemas parcheados. Los investigadores identificaron al menos dos exploits en una nueva vulnerabilidad rastreada como CVE-2021-45046.

Una debilidad, descubierta el martes, permitía a los piratas informáticos realizar ataques DDoS manipulando "patrones de búsqueda de mensajes" y "funcionalidad JNDI". Apache ahora los ha deshabilitado de forma predeterminada en Log4J 2.16.0.

Luego, el miércoles, los analistas de Praetorian encontraron otro exploit que permitiría a los piratas informáticos filtrar datos de servidores vulnerables. Praetorian publicó un video de prueba de concepto que demuestra la exfiltración en Log4J 2.15.0 (arriba). La actualización 2.16.0 también se ocupa de eso.

"En nuestra investigación, hemos demostrado que 2.15.0 aún puede permitir la filtración de datos confidenciales en ciertas circunstancias", señaló Praetorian en una advertencia para actualizar de inmediato. "Hemos pasado los detalles técnicos del problema a la Fundación Apache, pero mientras tanto, recomendamos enfáticamente que los clientes actualicen a 2.16.0 lo más rápido posible".

La firma de seguridad Cloudflare dijo el miércoles que está rastreando CVE-2021-45046 y ya ha visto que la falla se está explotando activamente, pero no mencionó si los ataques fueron DDoS, exfiltración de datos o ambos. También recomienda que los administradores del sistema actualicen a Log4J 2.16.0 lo antes posible.

Ambas compañías mantienen en secreto los detalles técnicos de las vulnerabilidades mientras los trabajadores de la industria actualizan sus sistemas.