Actualitat sobre la vulnerabilitat en Java Apatxe Log4j 2 (CVE-2021-44228), també coneguda com a Log4Shell

S’envia l’actualització següent per a informar que s’ha publicat un nou vector d’atac relacionat amb denegació de servei que no es corregeix actualitzant a la versió 2.15, tal com indiquem en l’anterior notificació. Per a solucionar totes les vulnerabilitats detectades, es recomana actualitzar a la nova versió alliberada 2.16.

Alerta anterior actualitzada:
Divendres passat 10/12/2021, es va publicar una vulnerabilitat que afecta les versions d’Apatxe Log4 des de 2.0 fins a 2.14.1. Aquesta llibreria és present en quasi tots els desenvolupaments basats en Java, tant comercials com a mesura.

A causa de la facilitat d’explotació i ampli abast de la llibreria, va ser categoritzada com a CRÍTICA (CVSS 10), ja que una explotació reeixida permetria l’execució remota de codi, i comprometria per complet l’equip i la seua informació.

En cas de detectar l’explotació d’aquesta vulnerabilitat, o si necessita informació addicional, pot contactar-nos en csirtcv@gva.es

ACCIONS CORPORATIVES REALITZADES

• • Des del divendres s’estan detectant nombrosos intents d’explotació contra els sistemes corporatius, però no tenint constància que cap haja sigut efectiu.

• • Des del perímetre de la xarxa s’estan monitorant i analitzant cadascun d’aquests intents, i gestionant amb els responsables dels sistemes cada incident particular.

• • S’estan bloquejant automàticament alguns intents d’explotació per al trànsit sense xifrar, i es preveu ampliar-lo al trànsit xifrat en breu, tant externament com internament (actuacions en curs).

• • Ja existia un filtrat de connexions sortints per a servidors que evita potencialment la infecció dels servidors.

• • S’estan analitzant els sistemes existents en la xarxa corporativa, tant automàticament com contra l’inventari, per a identificar sistemes vulnerables, i prendre les mesures particulars que procedisquen en cada cas.

• • S’han retirat les llibreries vulnerables dels repositoris de desenvolupament corporatius per a congelar qualsevol desenvolupament en curs que utilitze les llibreries vulnerables.

ACCIONS A PRENDRE PER PART DELS RESPONSABLES DELS SISTEMES
IMPRESCINDIBLE: eliminar la vulnerabilitat

• • Aplicar els pegats de seguretat quan siga possible; la versió 2.16.0 de log4j ja està disponible des de:
    • https://logging.apache.org/log4j/2.x/download.html
    • https://logging.apache.org/log4j/2.x/security.html

• • La vulnerabilitat es pot mitigar en la version 2.10 i posteriors establint la propietat del sistema “log4j2.formatMsgNoLookups” en “true” o eliminant la classe JndiLookup del classpath.

• • Per a versions anteriors a 2.10.0, existeixen dues opcions:
    • Modificar el disseny de cada patró de registre per a canviar %m{nolookups} per %m en els arxius de configuració de registre.
    • Substituir una implementació buida o no vulnerable de la classe apatxe.logging.log4j.core.lookup.JndiLookup, de manera que el carregador de classes utilitze el reemplaçament en lloc de la versió vulnerable de la classe.

Accions compensatòries a nivell de xarxa

• • Si no s’utilitza la connexió a Internet corporativa o es disposa de tallafocs o dispositius amb capacitat de bloqueig, es recomana actualitzar les signatures i activar les proteccions proporcionades pel fabricant.

• • Per als servidors no administrats pel servei de sistemes de la Generalitat, bloquejar l’eixida a Internet, principalment dels que es troben en DMZ i permetre només llistes blanques.

• • Revisar si s’ha tingut un augment de connexions DNS des del passat cap de setmana.

• • Escanejar la xarxa a la recerca d’aplicacions i serveis vulnerables. Les aplicacions Nessus o Burp ja disposen de plugins específics.

Accions compensatòries a nivell de sistema operatiu

• • Revisar localment els servidors a la recerca d’aplicacions vulnerables i seguir les indicacions proporcionades pel CCN-Cert per a PowerShell, Linux, Go o cerques manuals:

https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/11435-ccn-cert-al-09-21-vulnerabilidad-en-apache-log4j-2.html

• • L’eina Loki permet anàlisis locals amb regles YARA per a comprovar si un servidor ja ha sigut atacat utilitzant aquesta vulnerabilitat: https://github.com/Neo23x0/Loki

• • Regles Yara: https://github.com/darkarnium/CVE-2021-44228

+INFORMACIÓ

• • Informació detallada de la vulnerabilitat
    • https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/
    • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228
    • https://www.lunasec.io/docs/blog/log4j-zero-day/

• • Llista extraoficial de productes afectats
    • https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

• • Script per a detectar rastres d’explotació
    • https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b

• • Indicadors de compromís, IOC
    • https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217

• • Maneres de comprovar si s’és vulnerable
    • https://twitter.com/cyb3rops/status/1469405846010572816 via Canary Token
    • https://github.com/whwlsfb/Log4j2Scan via Burp
    • https://www.tenable.com/plugins/search?q=cves%3A%28%22CVE-2021-44228%22%29&sort=&page=1 via Nessus