Vulnerabilidad de Día-0 Apache Log4j Remote Code Execution Vulnerability

El 9 de diciembre de 2021, se hizo pública una vulnerabilidad crítica de día-0 que afecta a múltiples versiones de una biblioteca de registro Apache Log4j 2 comúnmente usada en aplicaciones Web, y que al ser explotada, podría resultar en la ejecución remota de código (RCE), Como toda vulnerabilidad expuesta de ejecución remota de código, puede estar ligada a diversos ataques de diversos tipos como coinminers, cryptojacking y también podría resultar en ataques de ransomware.

A esta vulnerabilidad se le identifica como CVE-2021-44228 y también se le conoce en el medio como “Log4Shell”.

Las versiones de la biblioteca afectadas son las versiones de Apache Log4j 2.x menores o iguales a 2.15.0-rc1

Software Afectado

Un número significativo de aplicaciones basadas en Java utilizan log4j como su utilidad de registro y son vulnerables a este CVE. Se tiene conocimiento que al menos el siguiente software puede verse afectado:

  • Apache Struts
  • Apache Solr
  • Apache Druid
  • Apache Flink
  • ElasticSearch
  • Flume
  • Apache Dubbo
  • Logstash
  • Kafka
  • Spring-Boot-starter-log4j2

Fabricantes como Trend Micro y Palo Alto Networks han publicado las reglas para su actualización automáticas principalmente del módulo IPS que pueden contener y otros módulos que pueden registrar esta clase de ataques para fines de detección y respuesta.

Reglas Trend Micro Cloud One – Workload Security and Deep Security IPS

  • Rule 1011242 – Log4j Remote Code Execution Vulnerability (CVE-2021-44228)
  • Rule 1005177 – Restrict Java Bytecode File (Jar/Class) Download
  • Rule 1008610 – Block Object-Graph Navigation Language (OGNL) Expressions Initiation In Apache Struts HTTP Request

https://success.trendmicro.com/solution/000289940

Los firewalls con una suscripción de seguridad de Prevención de amenazas pueden bloquear automáticamente las sesiones relacionadas con esta vulnerabilidad mediante el ID de amenaza 91991 (lanzado inicialmente con la actualización de contenido de aplicaciones y amenazas versión 8498 y mejorado con la versión 8499).

https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#AlertaDeSeguridad #Nova