Se envía la siguiente actualización para informar que se ha publicado un nuevo vector de ataque relacionado con denegación de servicio que no se corrige actualizando a la versión 2.15 tal y como indicamos en la anterior notificación. Para solventar todas las vulnerabilidades detectadas, se recomienda actualizar a la nueva versión liberada 2.16.
Alerta anterior actualizada:
El pasado viernes 10/12/2021, se publicó una vulnerabilidad que afecta a las versiones de Apache Log4 desde 2.0 hasta 2.14.1. Esta librería está presente en la casi totalidad de los desarrollos basados en Java, tanto comerciales como a medida.
Debido a la facilidad de explotación y amplio alcance de la librería, fue categorizada como CRÍTICA (CVSS 10), ya que una explotación exitosa permitiría la ejecución remota de código, comprometiendo por completo el equipo y su información.
En caso de detectar la explotación de esta vulnerabilidad puede o si necesita información adicional, puede contactarnos en csirtcv@gva.es
ACCIONES CORPORATIVAS REALIZADAS
- Desde el viernes se están detectando numerosos intentos de explotación contra los sistemas corporativos, no teniendo constancia de que ninguno haya sido efectivo.
- Desde el perímetro de la red se están monitorizando y analizando cada uno de estos intentos, gestionando con los responsables de los sistemas cada incidente particular.
- Se están bloqueando automáticamente algunos intentos de explotación para el tráfico sin cifrar, previendo ampliarlo al tráfico cifrado en breve, tanto externa como internamente (actuaciones en curso).
- Ya existía un filtrado de conexiones salientes para servidores que evita potencialmente la infección de los servidores.
- Se están analizando los sistemas existentes en la red corporativa, tanto automáticamente como contra el inventario, para identificar sistemas vulnerables, y tomar las medidas particulares que procedan en cada caso.
- Se han retirado las librerías vulnerables de los repositorios de desarrollo corporativos para congelar cualquier desarrollo en curso que utilice las librerías vulnerables.
ACCIONES A TOMAR POR LOS RESPONSABLES DE LOS SISTEMAS
IMPRESCINDIBLE: eliminar la vulnerabilidad
- Aplicar los parches de seguridad en cuanto sea posible; la versión 2.16.0 de log4j ya está disponible desde:
- La vulnerabilidad se puede mitigar en la versión 2.10 y posteriores estableciendo la propiedad del sistema «log4j2.formatMsgNoLookups» en «true» o eliminando la clase JndiLookup del classpath.
- Para versiones anteriores a 2.10.0, existen dos opciones:
- Modificar el diseño de cada patrón de registro para cambiar %m{nolookups} por %m en los archivos de configuración de registro.
- Sustituir una implementación vacía o no vulnerable de la clase apache.logging.log4j.core.lookup.JndiLookup, de manera que su cargador de clases use el reemplazo en lugar de la versión vulnerable de la clase.
- Para versiones anteriores a 2.10.0, existen dos opciones:
Acciones compensatorias a nivel de red
- Si no se utiliza la conexión a Internet corporativa o se dispone de cortafuegos o dispositivos con capacidad de bloqueo, se recomienda actualizar las firmas y activar las protecciones proporcionadas por el fabricante.
- Para los servidores no administrados por el servicio de sistemas de la Generalitat, bloquear la salida a Internet, principalmente los que se encuentran en DMZ permitiendo solo listas blancas.
- Revisar si se ha tenido un aumento de conexiones DNS desde el pasado fin de semana.
- Escanear la red en busca de aplicaciones y servicios vulnerables. Las aplicaciones Nessus o Burp ya disponen de plugins específicos.
Acciones compensatorias a nivel de sistema operativo
- Revisar localmente los servidores en busca de aplicaciones vulnerables siguiendo las indicaciones proporcionadas por el CCN-Cert para PowerShell, Linux, Go o búsquedas manuales:
- La herramienta Loki permite análisis locales con reglas YARA para comprobar si un servidor ya ha sido atacado utilizando esta vulnerabilidad: https://github.com/Neo23x0/Loki
- Reglas Yara: https://github.com/darkarnium/CVE-2021-44228
+INFORMACIÓN
- Listado extraoficial de productos afectados
- Script para detectar rastros de explotación
- Indicadores de compromiso, IOC
- Formas de comprobar si se es vulnerable