CAREERS

WISE CERT – Vulnerabilidad Log4Shell

(脷ltima Actualizaci贸n 23/12/2021)

馃敽Atenci贸n a la reciente alerta de seguridad de nivel CR脥TICO馃敽

La vulnerabilidad CVE-2021-44228, llamada Log4Shell o LogJam y que afecta a Apache Log4j (v2.0 – v2.14.1, ambas incluidas), permite explotar aplicaciones web desarrolladas sobre Java que hagan uso de dicha librer铆a mediante la inclusi贸n de un payload especial en cabeceras HTTP o par谩metros de las peticiones.

脡sta llega a permitir la ejecuci贸n remota de c贸digo (RCE) a trav茅s de la funci贸n 鈥淛NDI Lookup鈥 mezclada con otros protocolos (por ejemplo LDAP) y por tanto, el compromiso del servidor (confidencialidad, integridad de datos y disponibilidad del sistema).

Log4J es una librer铆a de Java que es utilizada por la mayor铆a de los sistemas que usan dicho lenguaje. Si a esto le a帽adimos la publicaci贸n reciente de un exploit que facilita la explotaci贸n de dicha vulnerabilidad, la convierte en una de las m谩s cr铆ticas de los 煤ltimos a帽os, provocando un an谩lisis a nivel global de actores maliciosos para la b煤squeda de sistemas explotables.

Apache Foundation sigue publicando nuevas versiones de parches para esta vulnerabilidad.

脷ltima versi贸n Log4j 2.17.0:聽https://logging.apache.org/log4j/2.x/download.html

Otras recomendaciones:

Recomendamos aplicar las siguientes medidas siempre que sea posible:

  1. Aplicar los IOCs publicados por CCN-CERT en los sistemas corporativos y monitorizar la posible actividad de los mismos.
  2. Verificar si internamente, tanto en aplicaciones propias como en comerciales hay afectaci贸n por las vulnerabilidades, y si se les ha aplicado parche y/o actualizaci贸n seg煤n indique el fabricante o proveedor. Para ello recomendamos comprobar los siguientes link y comunicar con el proveedor (actualmente s贸lo se hace referencia a la vulnerabilidad Log4Shell):
    1. https://github.com/cisagov/log4j-affected-db
    2. https://github.com/NCSC-NL/log4shell/blob/main/software/README.md
  3. Los servidores web, de aplicaciones, contralores de dominio, Ldap, etc. no deben navegar a Internet, 煤nicamente deben permitirse las conexiones salientes para las actualizaciones de las aplicaciones o conexiones necesarias para el funcionamiento de la compa帽铆a, adem谩s de realizar una monitorizaci贸n de los sistemas.
  4. Revisar las posibles tareas programadas (crontab en sistemas Linux) para verificar que no se ha establecido persistencia alguna fruto de la explotaci贸n de esta vulnerabilidad.
  5. Revisar si existe o han existido un aumento de las conexiones salientes de DNS, teniendo en cuenta que tiene que haber un aumento por las pruebas de concepto y ataques iniciales para comprobar si una aplicaci贸n o servidor es vulnerable.