CAREERS

WISE CERT – Vulnerabilidad Log4Shell

(脷ltima Actualizaci贸n 23/12/2021)

馃敽Atenci贸n a la reciente alerta de seguridad de nivel CR脥TICO馃敽

La vulnerabilidad CVE-2021-44228, llamada Log4Shell o LogJam y que afecta a Apache Log4j (v2.0 – v2.14.1, ambas incluidas), permite explotar aplicaciones web desarrolladas sobre Java que hagan uso de dicha librer铆a mediante la inclusi贸n de un payload especial en cabeceras HTTP o par谩metros de las peticiones.

脡sta llega a permitir la ejecuci贸n remota de c贸digo (RCE) a trav茅s de la funci贸n 鈥淛NDI Lookup鈥 mezclada con otros protocolos (por ejemplo LDAP) y por tanto, el compromiso del servidor (confidencialidad, integridad de datos y disponibilidad del sistema).

Log4J es una librer铆a de Java que es utilizada por la mayor铆a de los sistemas que usan dicho lenguaje. Si a esto le a帽adimos la publicaci贸n reciente de un exploit que facilita la explotaci贸n de dicha vulnerabilidad, la convierte en una de las m谩s cr铆ticas de los 煤ltimos a帽os, provocando un an谩lisis a nivel global de actores maliciosos para la b煤squeda de sistemas explotables.

Apache Foundation sigue publicando nuevas versiones de parches para esta vulnerabilidad.

脷ltima versi贸n Log4j 2.17.0:聽https://logging.apache.org/log4j/2.x/download.html

Otras recomendaciones:

Recomendamos aplicar las siguientes medidas siempre que sea posible:

  1. Aplicar los IOCs publicados por CCN-CERT en los sistemas corporativos y monitorizar la posible actividad de los mismos.
  2. Verificar si internamente, tanto en aplicaciones propias como en comerciales hay afectaci贸n por las vulnerabilidades, y si se les ha aplicado parche y/o actualizaci贸n seg煤n indique el fabricante o proveedor. Para ello recomendamos comprobar los siguientes link y comunicar con el proveedor (actualmente s贸lo se hace referencia a la vulnerabilidad Log4Shell):
    1. https://github.com/cisagov/log4j-affected-db
    2. https://github.com/NCSC-NL/log4shell/blob/main/software/README.md
  3. Los servidores web, de aplicaciones, contralores de dominio, Ldap, etc. no deben navegar a Internet, 煤nicamente deben permitirse las conexiones salientes para las actualizaciones de las aplicaciones o conexiones necesarias para el funcionamiento de la compa帽铆a, adem谩s de realizar una monitorizaci贸n de los sistemas.
  4. Revisar las posibles tareas programadas (crontab en sistemas Linux) para verificar que no se ha establecido persistencia alguna fruto de la explotaci贸n de esta vulnerabilidad.
  5. Revisar si existe o han existido un aumento de las conexiones salientes de DNS, teniendo en cuenta que tiene que haber un aumento por las pruebas de concepto y ataques iniciales para comprobar si una aplicaci贸n o servidor es vulnerable.

    Contact us!

    hello@wsg127.com
    +34 910 700 549

    We inform you that the data provided will be processed by WISE SECURITY GLOBAL S.L. in order to answer your queries and send you commercial communications about which you have shown interest. In addition, if you give us your consent, we can track your interactions in the communications to measure the effectiveness of the campaigns or send you personalised communications. You can exercise your rights as defined in Articles 15 to 22 of Regulation (EU) 2016/679 or request revocation of your consent at dpo@wsg127.com. For more information you can access our Privacy Policy.

    I have read and accept the Privacy Policy*. I consent to receive personalized marketing communications based on my profile and interests.