Actualidad sobre la vulnerabilidad en Java Apache Log4j 2 (CVE-2021-44228), también conocida como Log4Shell

Se envía la siguiente actualización para informar que se ha publicado un nuevo vector de ataque relacionado con denegación de servicio que no se corrige actualizando a la versión 2.15 tal y como indicamos en la anterior notificación. Para solventar todas las vulnerabilidades detectadas, se recomienda actualizar a la nueva versión liberada 2.16.

Alerta anterior actualizada:
El pasado viernes 10/12/2021, se publicó una vulnerabilidad que afecta a las versiones de Apache Log4 desde 2.0 hasta 2.14.1. Esta librería está presente en la casi totalidad de los desarrollos basados en Java, tanto comerciales como a medida.

Debido a la facilidad de explotación y amplio alcance de la librería, fue categorizada como CRÍTICA (CVSS 10), ya que una explotación exitosa permitiría la ejecución remota de código, comprometiendo por completo el equipo y su información.

En caso de detectar la explotación de esta vulnerabilidad puede o si necesita información adicional, puede contactarnos en csirtcv@gva.es

ACCIONES CORPORATIVAS REALIZADAS

• • Desde el viernes se están detectando numerosos intentos de explotación contra los sistemas corporativos, no teniendo constancia de que ninguno haya sido efectivo.

• • Desde el perímetro de la red se están monitorizando y analizando cada uno de estos intentos, gestionando con los responsables de los sistemas cada incidente particular.

• • Se están bloqueando automáticamente algunos intentos de explotación para el tráfico sin cifrar, previendo ampliarlo al tráfico cifrado en breve, tanto externa como internamente (actuaciones en curso).

• • Ya existía un filtrado de conexiones salientes para servidores que evita potencialmente la infección de los servidores.

• • Se están analizando los sistemas existentes en la red corporativa, tanto automáticamente como contra el inventario, para identificar sistemas vulnerables, y tomar las medidas particulares que procedan en cada caso.

• • Se han retirado las librerías vulnerables de los repositorios de desarrollo corporativos para congelar cualquier desarrollo en curso que utilice las librerías vulnerables.

ACCIONES A TOMAR POR LOS RESPONSABLES DE LOS SISTEMAS
IMPRESCINDIBLE: eliminar la vulnerabilidad

• • Aplicar los parches de seguridad en cuanto sea posible; la versión 2.16.0 de log4j ya está disponible desde:
    • https://logging.apache.org/log4j/2.x/download.html
    • https://logging.apache.org/log4j/2.x/security.html

• • La vulnerabilidad se puede mitigar en la versión 2.10 y posteriores estableciendo la propiedad del sistema «log4j2.formatMsgNoLookups» en «true» o eliminando la clase JndiLookup del classpath.

• • Para versiones anteriores a 2.10.0, existen dos opciones:
    • Modificar el diseño de cada patrón de registro para cambiar %m{nolookups} por %m en los archivos de configuración de registro.
    • Sustituir una implementación vacía o no vulnerable de la clase apache.logging.log4j.core.lookup.JndiLookup, de manera que su cargador de clases use el reemplazo en lugar de la versión vulnerable de la clase.

Acciones compensatorias a nivel de red

• • Si no se utiliza la conexión a Internet corporativa o se dispone de cortafuegos o dispositivos con capacidad de bloqueo, se recomienda actualizar las firmas y activar las protecciones proporcionadas por el fabricante.

• • Para los servidores no administrados por el servicio de sistemas de la Generalitat, bloquear la salida a Internet, principalmente los que se encuentran en DMZ permitiendo solo listas blancas.

• • Revisar si se ha tenido un aumento de conexiones DNS desde el pasado fin de semana.

• • Escanear la red en busca de aplicaciones y servicios vulnerables. Las aplicaciones Nessus o Burp ya disponen de plugins específicos.

Acciones compensatorias a nivel de sistema operativo

• • Revisar localmente los servidores en busca de aplicaciones vulnerables siguiendo las indicaciones proporcionadas por el CCN-Cert para PowerShell, Linux, Go o búsquedas manuales:

https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/11435-ccn-cert-al-09-21-vulnerabilidad-en-apache-log4j-2.html

• • La herramienta Loki permite análisis locales con reglas YARA para comprobar si un servidor ya ha sido atacado utilizando esta vulnerabilidad: https://github.com/Neo23x0/Loki

• • Reglas Yara: https://github.com/darkarnium/CVE-2021-44228

+INFORMACIÓN

• • Información detallada de la vulnerabilidad
    • https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/
    • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228
    • https://www.lunasec.io/docs/blog/log4j-zero-day/

• • Listado extraoficial de productos afectados
    • https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

• • Script para detectar rastros de explotación
    • https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b

• • Indicadores de compromiso, IOC
    • https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217

• • Formas de comprobar si se es vulnerable
    • https://twitter.com/cyb3rops/status/1469405846010572816 vía Canary Token
    • https://github.com/whwlsfb/Log4j2Scan vía Burp
    • https://www.tenable.com/plugins/search?q=cves%3A%28%22CVE-2021-44228%22%29&sort=&page=1 vía Nessus