CAREERS

WISE CERT – Vulnerabilidad Log4Shell

(Última Actualización 23/12/2021)

🔺Atención a la reciente alerta de seguridad de nivel CRÍTICO🔺

La vulnerabilidad CVE-2021-44228, llamada Log4Shell o LogJam y que afecta a Apache Log4j (v2.0 – v2.14.1, ambas incluidas), permite explotar aplicaciones web desarrolladas sobre Java que hagan uso de dicha librería mediante la inclusión de un payload especial en cabeceras HTTP o parámetros de las peticiones.

Ésta llega a permitir la ejecución remota de código (RCE) a través de la función “JNDI Lookup” mezclada con otros protocolos (por ejemplo LDAP) y por tanto, el compromiso del servidor (confidencialidad, integridad de datos y disponibilidad del sistema).

Log4J es una librería de Java que es utilizada por la mayoría de los sistemas que usan dicho lenguaje. Si a esto le añadimos la publicación reciente de un exploit que facilita la explotación de dicha vulnerabilidad, la convierte en una de las más críticas de los últimos años, provocando un análisis a nivel global de actores maliciosos para la búsqueda de sistemas explotables.

Apache Foundation sigue publicando nuevas versiones de parches para esta vulnerabilidad.

Última versión Log4j 2.17.0: https://logging.apache.org/log4j/2.x/download.html

Otras recomendaciones:

Recomendamos aplicar las siguientes medidas siempre que sea posible:

  1. Aplicar los IOCs publicados por CCN-CERT en los sistemas corporativos y monitorizar la posible actividad de los mismos.
  2. Verificar si internamente, tanto en aplicaciones propias como en comerciales hay afectación por las vulnerabilidades, y si se les ha aplicado parche y/o actualización según indique el fabricante o proveedor. Para ello recomendamos comprobar los siguientes link y comunicar con el proveedor (actualmente sólo se hace referencia a la vulnerabilidad Log4Shell):
    1. https://github.com/cisagov/log4j-affected-db
    2. https://github.com/NCSC-NL/log4shell/blob/main/software/README.md
  3. Los servidores web, de aplicaciones, contralores de dominio, Ldap, etc. no deben navegar a Internet, únicamente deben permitirse las conexiones salientes para las actualizaciones de las aplicaciones o conexiones necesarias para el funcionamiento de la compañía, además de realizar una monitorización de los sistemas.
  4. Revisar las posibles tareas programadas (crontab en sistemas Linux) para verificar que no se ha establecido persistencia alguna fruto de la explotación de esta vulnerabilidad.
  5. Revisar si existe o han existido un aumento de las conexiones salientes de DNS, teniendo en cuenta que tiene que haber un aumento por las pruebas de concepto y ataques iniciales para comprobar si una aplicación o servidor es vulnerable.

    Contact us!

    hello@wsg127.com

    +34 910 700 549

    We inform you that the data provided will be processed by WISE SECURITY GLOBAL S.L. in order to answer your queries and send you commercial communications about which you have shown interest. In addition, if you give us your consent, we can track your interactions in the communications to measure the effectiveness of the campaigns or send you personalised communications. You can exercise your rights as defined in Articles 15 to 22 of Regulation (EU) 2016/679 or request revocation of your consent at dpo@wsg127.com. For more information you can access our Privacy Policy.
    I have read and accept the Privacy Policy*. I consent to receive personalized marketing communications based on my profile and interests.