Jen Easterly, directora de CISA dice que Log4j es la peor que ha visto y que se extenderán durante años
La directora de CISA, Jen Easterly, dice que la falla de seguridad de Log4j es la peor que ha visto en su carrera y los profesionales de la seguridad enfrentarán las consecuencias del error durante mucho tiempo.
Si se deja sin parchear la principal falla de seguridad descubierta hace un mes en la biblioteca de registro de Java Apache Log4j plantea riesgos para grandes sectores de Internet, con lo cual los hackers podrían explotar la vulnerabilidad del software ampliamente utilizado para apoderarse de los servidores de las computadoras, lo que podría poner todo, desde la electrónica de consumo hasta los sistemas gubernamentales y corporativos, en riesgo de un ataque cibernético.
El 9 de diciembre, se descubrió una vulnerabilidad en la biblioteca de registro Apache log4j. Esta biblioteca es ampliamente utilizada en proyectos de desarrollo de aplicaciones Java/J2EE, así como también por proveedores de soluciones de software estándar basadas en Java/J2EE.
Log4j incluye un mecanismo de búsqueda que podría usarse para realizar consultas a través de una sintaxis especial en una cadena de formato. De forma predeterminada, todas las solicitudes se realizan con el prefijo java:comp/env/*; sin embargo, los autores implementaron la opción de usar un prefijo personalizado usando un símbolo de dos puntos en la clave. Aquí es donde radica la vulnerabilidad: si se usa jndi:ldap:// como clave, la solicitud va al servidor LDAP especificado. También se pueden utilizar otros protocolos de comunicación, como LDAPS, DNS y RMI.
Por lo tanto, un servidor remoto controlado por un atacante podría devolver un objeto a un servidor vulnerable, lo que podría provocar la ejecución de código arbitrario en el sistema o la fuga de datos confidenciales. Todo lo que tiene que hacer un atacante es enviar una cadena especial a través del mecanismo que escribe esta cadena en un archivo de registro y, por lo tanto, es administrada por la biblioteca Log4j.
Esto se puede hacer con solicitudes HTTP simples, por ejemplo, aquellas enviadas a través de formularios web, campos de datos, etc., o con cualquier otro tipo de interacciones usando el registro del lado del servidor.
- La versión 2.15.0 no resolvió otro problema, CVE-2021-45046, que permitía a un atacante remoto controlar el Thread Context Map (MDC) para preparar una entrada maliciosa utilizando un patrón de búsqueda JNDI. El resultado podría ser la ejecución remota de código, por suerte no en todos los entornos.
- La versión 2.16.0 solucionó este problema. Pero no arregló CVE-2021-45105, que Apache Software Foundation describe de la siguiente manera:
“Las versiones 2.0-alpha1 a 2.16.0 de Apache Log4j2 no protegían contra la repetición incontrolada de búsquedas autorreferenciales. Cuando la configuración de registro utiliza un diseño de plantilla diferente al predeterminado con una búsqueda de contexto (por ejemplo, $$ {ctx: loginId}), los atacantes que controlan los datos de entrada de Thread Context Map (MDC) pueden crear datos de entrada maliciosos que contienen una búsqueda recursiva. , lo que genera un StackOverflowError que finalizará el proceso. Esto también se conoce como ataque de denegación de servicio (DOS).
El programa de recompensas por errores independiente del proveedor, Zero Day Initiative, describió la falla de la siguiente manera:
“Cuando una variable anidada se reemplaza por la clase StrSubstitutor, recursivamente llama a la clase de sustitución (). Sin embargo, cuando la variable anidada hace referencia a la variable que se va a reemplazar, se llama a la recursividad con la misma cadena. Esto lleva a una recursividad infinita y una condición DoS en el servidor”.
Otro error crítico de ejecución de código remoto que ahora se rastrea como CVE-2021-44832 se descubrió en la misma biblioteca de registro de Apache Log4j. Esta es la cuarta vulnerabilidad de la biblioteca Log4j.
Calificada como «moderada» en gravedad con una puntuación de 6,6 en la escala CVSS, la vulnerabilidad se deriva de la falta de controles adicionales sobre el acceso JDNI en log4j.
El equipo de seguridad de Apache lanzó otra versión de Apache Log4J (versión 2.17.1) que corrige el error de ejecución de código remoto recientemente descubierto CVE-2021-44832. Esta es otra mala situación para la mayoría de los usuarios pero, nuevamente, se recomienda encarecidamente actualizar su sistema para solucionar este problema crítico.
Ninguna agencia federal de EE. UU. se ha visto comprometida debido a la vulnerabilidad, dijo Jen Easterly, a los periodistas en una llamada. Además, no se han informado ciberataques importantes relacionados con el error en los Estados Unidos, aunque muchos ataques no se informan, dijo.
Easterly dijo que el alcance de la vulnerabilidad, que afecta a decenas de millones de dispositivos conectados a Internet, la convierte en la peor que ha visto en su carrera. Es posible, dijo, que los atacantes esperen su momento, esperando que las empresas y otros bajen sus defensas antes de atacar.
“Esperamos que Log4Shell se utilice en intrusiones en el futuro”, dijo Easterly. Señaló que la violación de datos de Equifax en 2017, que comprometió la información personal de casi 150 millones de estadounidenses, se debió a una vulnerabilidad en el software de código abierto.
Hasta ahora, la mayoría de los intentos de explotar el error se han centrado en la minería de criptomonedas de bajo nivel o en intentos de atraer dispositivos a redes de bots, dijo.
Fuente: https://www.cnet.com