CAREERS

WISE CERT – Vulnerabilidad Log4Shell

(Última Actualización 23/12/2021)

🔺Atención a la reciente alerta de seguridad de nivel CRÍTICO🔺

La vulnerabilidad CVE-2021-44228, llamada Log4Shell o LogJam y que afecta a Apache Log4j (v2.0 – v2.14.1, ambas incluidas), permite explotar aplicaciones web desarrolladas sobre Java que hagan uso de dicha librería mediante la inclusión de un payload especial en cabeceras HTTP o parámetros de las peticiones.

Ésta llega a permitir la ejecución remota de código (RCE) a través de la función “JNDI Lookup” mezclada con otros protocolos (por ejemplo LDAP) y por tanto, el compromiso del servidor (confidencialidad, integridad de datos y disponibilidad del sistema).

Log4J es una librería de Java que es utilizada por la mayoría de los sistemas que usan dicho lenguaje. Si a esto le añadimos la publicación reciente de un exploit que facilita la explotación de dicha vulnerabilidad, la convierte en una de las más críticas de los últimos años, provocando un análisis a nivel global de actores maliciosos para la búsqueda de sistemas explotables.

Apache Foundation sigue publicando nuevas versiones de parches para esta vulnerabilidad.

Última versión Log4j 2.17.0: https://logging.apache.org/log4j/2.x/download.html

Otras recomendaciones:

Recomendamos aplicar las siguientes medidas siempre que sea posible:

  1. Aplicar los IOCs publicados por CCN-CERT en los sistemas corporativos y monitorizar la posible actividad de los mismos.
  2. Verificar si internamente, tanto en aplicaciones propias como en comerciales hay afectación por las vulnerabilidades, y si se les ha aplicado parche y/o actualización según indique el fabricante o proveedor. Para ello recomendamos comprobar los siguientes link y comunicar con el proveedor (actualmente sólo se hace referencia a la vulnerabilidad Log4Shell):
    1. https://github.com/cisagov/log4j-affected-db
    2. https://github.com/NCSC-NL/log4shell/blob/main/software/README.md
  3. Los servidores web, de aplicaciones, contralores de dominio, Ldap, etc. no deben navegar a Internet, únicamente deben permitirse las conexiones salientes para las actualizaciones de las aplicaciones o conexiones necesarias para el funcionamiento de la compañía, además de realizar una monitorización de los sistemas.
  4. Revisar las posibles tareas programadas (crontab en sistemas Linux) para verificar que no se ha establecido persistencia alguna fruto de la explotación de esta vulnerabilidad.
  5. Revisar si existe o han existido un aumento de las conexiones salientes de DNS, teniendo en cuenta que tiene que haber un aumento por las pruebas de concepto y ataques iniciales para comprobar si una aplicación o servidor es vulnerable.

    ¡Hablemos!

    hello@wsg127.com

    +34 910 700 549


    Te informamos de que los datos identificativos facilitados serán tratados por WISE SECURITY GLOBAL S.L con la finalidad de atender tus consultas, y enviarte comunicaciones comerciales sobre las que has mostrado interés. Además, si nos prestas tu consentimiento, podremos hacer un seguimiento de tus interacciones en las comunicaciones para realizar mediciones de eficacia de las campañas o enviarte comunicaciones personalizadas. Puedes ejercer tus derechos definidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 o solicitar la revocación de su consentimiento en dpo@wsg127.com. Para más información puedes acceder a nuestra política de privacidad.
    Confirmo que estoy de acuerdo con la política de privacidad de Wise Security Global.
    Autorizo el envío de comunicaciones comerciales personalizadas basadas en mi perfil y en mis intereses.