Actualitat sobre la vulnerabilitat en Java Apatxe Log4j 2 (CVE-2021-44228), també coneguda com a Log4Shell

S’envia l’actualització següent per a informar que s’ha publicat un nou vector d’atac relacionat amb denegació de servei que no es corregeix actualitzant a la versió 2.15, tal com indiquem en l’anterior notificació. Per a solucionar totes les vulnerabilitats detectades, es recomana actualitzar a la nova versió alliberada 2.16.

Alerta anterior actualitzada:
Divendres passat 10/12/2021, es va publicar una vulnerabilitat que afecta les versions d’Apatxe Log4 des de 2.0 fins a 2.14.1. Aquesta llibreria és present en quasi tots els desenvolupaments basats en Java, tant comercials com a mesura.

A causa de la facilitat d’explotació i ampli abast de la llibreria, va ser categoritzada com a CRÍTICA (CVSS 10), ja que una explotació reeixida permetria l’execució remota de codi, i comprometria per complet l’equip i la seua informació.

En cas de detectar l’explotació d’aquesta vulnerabilitat, o si necessita informació addicional, pot contactar-nos en csirtcv@gva.es

 

ACCIONS CORPORATIVES REALITZADES

    • Des del divendres s’estan detectant nombrosos intents d’explotació contra els sistemes corporatius, però no tenint constància que cap haja sigut efectiu.
    • Des del perímetre de la xarxa s’estan monitorant i analitzant cadascun d’aquests intents, i gestionant amb els responsables dels sistemes cada incident particular.
    • S’estan bloquejant automàticament alguns intents d’explotació per al trànsit sense xifrar, i es preveu ampliar-lo al trànsit xifrat en breu, tant externament com internament (actuacions en curs).
    • Ja existia un filtrat de connexions sortints per a servidors que evita potencialment la infecció dels servidors.
    • S’estan analitzant els sistemes existents en la xarxa corporativa, tant automàticament com contra l’inventari, per a identificar sistemes vulnerables, i prendre les mesures particulars que procedisquen en cada cas.
    • S’han retirat les llibreries vulnerables dels repositoris de desenvolupament corporatius per a congelar qualsevol desenvolupament en curs que utilitze les llibreries vulnerables.

 

ACCIONS A PRENDRE PER PART DELS RESPONSABLES DELS SISTEMES
IMPRESCINDIBLE: eliminar la vulnerabilitat

    • La vulnerabilitat es pot mitigar en la version 2.10 i posteriors establint la propietat del sistema “log4j2.formatMsgNoLookups” en “true” o eliminant la classe JndiLookup del classpath.
    • Per a versions anteriors a 2.10.0, existeixen dues opcions:
      • Modificar el disseny de cada patró de registre per a canviar %m{nolookups} per %m en els arxius de configuració de registre.
      • Substituir una implementació buida o no vulnerable de la classe apatxe.logging.log4j.core.lookup.JndiLookup, de manera que el carregador de classes utilitze el reemplaçament en lloc de la versió vulnerable de la classe.

Accions compensatòries a nivell de xarxa

    • Si no s’utilitza la connexió a Internet corporativa o es disposa de tallafocs o dispositius amb capacitat de bloqueig, es recomana actualitzar les signatures i activar les proteccions proporcionades pel fabricant.
    • Per als servidors no administrats pel servei de sistemes de la Generalitat, bloquejar l’eixida a Internet, principalment dels que es troben en DMZ i permetre només llistes blanques.
    • Revisar si s’ha tingut un augment de connexions DNS des del passat cap de setmana.
    • Escanejar la xarxa a la recerca d’aplicacions i serveis vulnerables. Les aplicacions Nessus o Burp ja disposen de plugins específics.

Accions compensatòries a nivell de sistema operatiu

    • Revisar localment els servidors a la recerca d’aplicacions vulnerables i seguir les indicacions proporcionades pel CCN-Cert per a PowerShell, Linux, Go o cerques manuals:

https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/11435-ccn-cert-al-09-21-vulnerabilidad-en-apache-log4j-2.html

    • L’eina Loki permet anàlisis locals amb regles YARA per a comprovar si un servidor ja ha sigut atacat utilitzant aquesta vulnerabilitat: https://github.com/Neo23x0/Loki

 

+INFORMACIÓ