Una peligrosa vulnerabilidad de seguridad identificada en la biblioteca de registro de Java Log4j ha expuesto grandes extensiones de Internet a actores maliciosos.
Día cero Los exploits son tan malos como parece, especialmente cuando se identifican en software tan omnipresente como la biblioteca de registro Log4j de Apache. Se compartió en línea un exploit de prueba de concepto que expone a todos a posibles ataques de ejecución remota de código (RCE) y afectó a algunos de los servicios más importantes de la web. El exploit ha sido identificado como "explotado activamente" y es uno de los exploits más peligrosos que se han hecho públicos en los últimos años.
Log4j es un popular paquete de registro basado en Java desarrollado por Apache Software Foundation y CVE-2021-44228 afecta a todas las versiones de Log4j entre la versión 2.0-beta-9 y la versión 2.14.1. Ha sido parcheado en la versión más reciente de la biblioteca, versión 2.15.0, lanzado hace unos días. Muchos servicios y aplicaciones dependen de Log4j, incluidos juegos como Minecraft, donde se descubrió la vulnerabilidad por primera vez. También se descubrió que los servicios en la nube como Steam y Apple iCloud son vulnerables, y es probable que cualquiera que use Apache Struts también lo sea. Se demostró que incluso cambiar el nombre de un iPhone desencadenaba la vulnerabilidad en los servidores de Apple.
Esta vulnerabilidad fue descubierto por Chen Zhaojun del equipo de seguridad de la nube de Alibaba. Cualquier servicio que registre cadenas controladas por el usuario era vulnerable al exploit. El registro de cadenas controladas por el usuario es una práctica común por parte de los administradores de sistemas para detectar posibles abusos de la plataforma, aunque esos Luego, las cadenas deben "desinfectarse": el proceso de limpieza de la entrada del usuario para garantizar que no haya nada dañino para el software que se está ejecutando. enviado.
Log4Shell rivaliza con Heartbleed en su gravedad
El exploit ha sido denominado "Log4Shell", ya que es una vulnerabilidad RCE no autenticada que permite la toma total del sistema. Ya hay un Explotación de prueba de concepto en línea, y es ridículamente fácil demostrar que funciona mediante el uso de software de registro de DNS. Si recuerdas el Sangrado del corazón vulnerabilidad de hace varios años, Log4Shell definitivamente le da una oportunidad en cuanto a gravedad.
"De manera similar a otras vulnerabilidades de alto perfil como Heartbleed y Shellshock, creemos que existe Habrá un número cada vez mayor de productos vulnerables descubiertos en las próximas semanas", dijo el ataque Randori. Equipo dijo en su blog hoy. "Debido a la facilidad de explotación y la amplitud de aplicabilidad, sospechamos que los actores de ransomware comenzarán a aprovechar esta vulnerabilidad de inmediato", agregaron. Los actores maliciosos ya están escaneando masivamente la web para intentar encontrar servidores que explotar (a través de Computadora que suena).
"Muchos, muchos servicios son vulnerables a este exploit. Ya se ha descubierto que servicios en la nube como Steam, Apple iCloud y aplicaciones como Minecraft son vulnerables", LunaSec escribió. "Cualquiera que utilice Apache Struts probablemente sea vulnerable. Hemos visto vulnerabilidades similares explotadas antes en violaciones como la violación de datos de Equifax de 2017". LunaSec también dijo que las versiones de Java superiores a 6u211, 7u201, 8u191 y 11.0.1 se ven menos afectados en teoría, aunque es posible que los piratas informáticos aún puedan solucionar el problema. limitaciones.
La vulnerabilidad puede ser provocada por algo tan mundano como el nombre de un iPhone, lo que demuestra que Log4j realmente está en todas partes. Si se agrega una clase Java al final de la URL, esa clase se inyectará en el proceso del servidor. Los administradores de sistemas con versiones recientes de Log4j pueden ejecutar su JVM con el siguiente argumento para evitar también que se explote la vulnerabilidad, siempre que están en al menos Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=true
CERT NZ (el equipo nacional de respuesta a emergencias informáticas de Nueva Zelanda) ha emitido una advertencia de seguridad de explotación activa en la naturaleza, y esto también ha sido confirmado por Director Coalición de Ingeniería - Seguridad Tiago Henriques y experto en seguridad Kevin Beaumont. Cloudflare también ha considerado que la vulnerabilidad es tan peligrosa que todos los clientes reciben "algo" de protección de forma predeterminada.
Este es un exploit increíblemente peligroso y que puede causar estragos en línea. Estaremos atentos a lo que suceda a continuación.