Una vulnerabilitat greu d’execució de codi a Log4j fa que els experts en seguretat adverteixen de conseqüències potencialment catastròfiques per a les organitzacions empresarials i les aplicacions web.
La vulnerabilitat, enumerada com a CVE-2021-44228 al registre de vulnerabilitats de seguretat d’Apache Log4j, permet als atacants remots prendre el control d’un sistema afectat.
Què és Log4j?
Log4j és un marc de sistema de registre Apache de codi obert utilitzat pels desenvolupadors per al manteniment de registres dins d’una aplicació.
Aquesta explotació a la popular biblioteca de registre de Java dóna lloc a l’execució de codi remota (RCE). L’atacant envia una cadena de codi maliciós que, quan registra Log4j, permet a l’atacant carregar Java al servidor i prendre el control.
Amb cable informa que els atacants estaven utilitzant la funció de xat de Minecraft per explotar la vulnerabilitat divendres a la tarda.
Qui es veu afectat pel problema de seguretat de Log4j?
El problema és tan greu que l’Agència de Ciberseguretat i Seguretat de la Infraestructura dels Estats Units va publicar un avís 10 de desembre que diu, en part:
“CISA anima els usuaris i administradors a revisar el Anunci d’Apache Log4j 2.15.0 i actualitzeu a Log4j 2.15.0 o apliqueu les mitigacions recomanades immediatament”.
Anunci
Continueu llegint a continuació
El registre al qual es fa referència anteriorment classifica la gravetat del problema com a “crític” i el descriu com:
“Les funcions JNDI d’Apache Log4j2 <=2.14.1 que s'utilitzen en la configuració, els missatges de registre i els paràmetres no protegeixen contra LDAP controlat per atacant i altres punts finals relacionats amb JNDI.
Un atacant que pot controlar els missatges de registre o els paràmetres dels missatges de registre pot executar codi arbitrari carregat des dels servidors LDAP quan la substitució de cerca de missatges està habilitada”.
Marcus Hutchins de MalwareTech.com adverteix que iCloud, Steam i Minecraft s’han confirmat que són vulnerables:
Aquesta vulnerabilitat log4j (CVE-2021-44228) és extremadament dolenta. Milions d’aplicacions utilitzen Log4j per registrar, i tot el que ha de fer l’atacant és aconseguir que l’aplicació registri una cadena especial. Fins ara, iCloud, Steam i Minecraft s’han confirmat que són vulnerables.
— Marcus Hutchins (@MalwareTechBlog) 10 de desembre de 2021
Free Wortley, conseller delegat de LunaSec, va escriure el 9 de desembre.RCE Zero-Daypublicació al bloc que, “Qualsevol persona que utilitzi Apache Struts és probable que sigui vulnerable”.
També va dir: “Tenint en compte l’omnipresent que és aquesta biblioteca, l’impacte de l’explotació (control total del servidor) i el fàcil que és d’explotar, l’impacte d’aquesta vulnerabilitat és força greu”.
Anunci
Continueu llegint a continuació
CERT, l’equip austríac de resposta a emergències informàtiques, va publicar un avís Divendres que va declarar que els afectats inclouen:
“Totes les versions d’Apache log4j des de la 2.0 fins a la 2.14.1 inclosa i tots els frameworks (per exemple, Apache Struts2, Apache Solr, Apache Druid, Apache Flink, etc.) que utilitzen aquestes versions.
Segons l’empresa de seguretat LunaSec, les versions del JDK 6u211, 7u201, 8u191 i 11.0.1 no es veuen afectades en la configuració per defecte, ja que això no permet carregar una base de codi remota.
Tanmateix, si l’opció
com.sun.jndi.ldap.object.trustURLCodebase
éstrue
preparat, encara és possible un atac”.
Recomanacions d’experts en seguretat per combatre les vulnerabilitats de Log4j
Kevin Beaumont adverteix que, fins i tot si haguéssiu actualitzat a log4j-2.15.0-rc1, hi havia un bypass:
Si ja heu actualitzat el codi per utilitzar el log4j-2.15.0-rc1 que s’acaba de publicar, encara és vulnerable; ara heu d’aplicar log4j-2.15.0-rc2 perquè hi ha hagut un bypass. No hi ha cap versió estable que encara es solucioni.
— Kevin Beaumont (@GossiTheDog) 10 de desembre de 2021
Marcus Hutchins de MalwareTech.com ofereix una solució alternativa per a aquells que no poden actualitzar Log4j:
Si no podeu actualitzar log4j, podeu mitigar la vulnerabilitat RCE configurant log4j2.formatMsgNoLookups a True (-Dlog4j2.formatMsgNoLookups=true a la línia d’ordres de JVM).
— Marcus Hutchins (@MalwareTechBlog) 10 de desembre de 2021
Matthew Prince, cofundador i CEO de Cloudflare, anunciat divendres:
“Hem pres la determinació que #Log4J és tan dolent que intentarem desplegar almenys una mica de protecció per a tots Cloudflare clients per defecte, fins i tot clients gratuïts que no disposen del nostre WAF. Treballant com fer-ho de manera segura ara”.
Chris Wysopal, cofundador i CTO de Veracode, recomana actualitzar a un mínim de Java 8:
La versió pegada de log4j 2.15.0 requereix un mínim de Java 8. Si esteu a Java 7, haureu d’actualitzar a Java8
Quan hi ha una explotació activa i necessiteu pedaçar ràpidament, és beneficiós si heu anat actualitzant les vostres altres dependències al llarg del temps.
— Chris Wysopal (@WeldPond) 10 de desembre de 2021
Anunci
Continueu llegint a continuació
També avisa, “És possible que només hi hagi un 5% d’aplicacions encara a Java 7, però aquesta és la llarga cua que s’explotarà durant els propers mesos. No en tinguis cap a la teva organització.”
Desenvolupament de la història.
Imatge destacada: Shutterstock/solarseven