La respuesta de OptimumTIC a la COVID-19. Más información

Blog

Log4j2 Vulnerability

Publicado 14 de diciembre de 2021
Log4j2 Vulnerability

Log4j2 Vulnerability

Lo estamos viendo publicado últimamente en las redes por el riesgo que implica. Pero, ¿Qué es?

Entre finales de noviembre y principios de este mes de diciembre, se notificó al desarrollador del framework de una vulnerabilidad critica de ejecución remota de código (RCE) que afectaba al set de utilidades Log4j2, lo que desemboco en una serie de correcciones y revisiones del código por parte del proveedor. 

Esta vulnerabilidad fue identificada de forma pública con el ID de seguimiento CVE-2021-44228.

¿Qué es Log4j2?

Log4j2 es un logging framework (sistema de registros) de código abierto basado en JAVA. Este framework partía de una versión anterior llamada Log4j que se encargó de solucionar muchos problemas de ser su anterior versión. No obstante, se ha podido observar cómo históricamente este framework ha presentado otros problemas de seguridad como fueron las vulnerabilidades de RCE CVE-2017-5645 (https://nvd.nist.gov/vuln/detail/CVE-2017-5645) y CVE-2019-17571 (https://nvd.nist.gov/vuln/detail/CVE-2019-17571) debido a una falta de controles en la entrada de datos que proporciona el usuario.

Sin embargo, este framework es utilizado en una gran cantidad de aplicaciones de todo tipo y de forma muy común incorporándose en páginas webs/aplicaciones web que se ejecutan sobre Apache.

Esta pasada semana, el nueve del mes corriente, se identificó la explotación de esta vulnerabilidad durante un incidente real, lo que llevo a los investigadores a realizar una evaluación completa de este incidente; teniendo en cuenta lo fácil que era llevar a cabo este ataque explotando la vulnerabilidad y haciéndose pública la prueba de concepto, también conocida como PoC, que permite ver como se explota la vulnerabilidad.

Esta vulnerabilidad funciona al enviar una petición muy simple y sencilla, diseñada para explotar esta vulnerabilidad permitiendo que un atacante descargue y ejecute una carga maliciosa en el equipo objetivo.

¿Esta vulnerabilidad se está explotando?

Sí, definitivamente sí. Se está observando amplias campañas de detección y explotación de esta vulnerabilidad. Actualmente, diferentes fuentes de inteligencia confirman intentos de explotación y ataques en curso de esta vulnerabilidad.


Fuente de la gráfica Imperva

Anotación importante

La explotación del alcance total e impacto de la vulnerabilidad sigue siendo investigada por parte de los analistas y equipos de seguridad, lo que conlleva que este tema sea muy cambiante, por lo que les recomendamos que se mantengan informados de este tema para poder actuar con rapidez ante una nueva vía de explotación o tareas de mitigación.

Ejemplos de software afectado

  1. ICloud
  2. ElasticSearch
  3. Logstash
  4. Kafka
  5. Steam
  6. Minecraft

¿Cómo funciona el ataque?

El problema se encuentra en una funcionalidad llamada “lookups” lo que permite hacer muy flexible la solución de log4j de cara a los usuarios.

En este caso, el framework Log4j2 permite interactuar con los métodos de Java, permitiendo que se ejecute el código presente después de los caracteres “${” y éste se remplace por el valor de su ejecución. 

(ejemplo: ${java:os} )

Si llevamos esta característica un poco más allá y lo combinamos con el uso del método jndi, esto nos permitirá realizar búsquedas remotas con DNS, LDAP, etc.

 (ejemplo: ${jndi})

Una vez realizada la consulta en el servidor malicioso devuelve como resultado una clase de Java como carga del ataque per permite que se ejecute código en el dispositivo.


Recomendaciones

A partir de toda la información mostrada en los puntos anteriores recomendamos que las compañías u organizaciones lleven a cabo las siguientes acciones para mantenerse seguras antes esta amenaza.

  • Comprobar si están haciendo uso de log4j2 en sus aplicaciones y consultar a sus proveedores si sus aplicaciones están afectadas para programas la actualización de estas.
  • Implementar un sistema EDR para limitar la explotación de esta vulnerabilidad y detectar técnicas de post explotación de la vulnerabilidad.
  • Implementar, para la protección de sus dispositivos, un sistema de NGFW que permita detectar y bloquear los intentos de ejecución de esta vulnerabilidad. Además, es conveniente revisar la configuración de sus firewalls para garantizar que bloqueen las conexiones salientes de LDAP, DNS y RMI, no necesarias. 
  • Realizar la actualización del framework log4j2 en su última versión 2.15.0-rc2 o superior.
  • Revisar la configuración del framework para desactivar o configurar apropiadamente el módulo.
¿Qué están haciendo nuestros fabricantes para protegernos de este ataque?

Palo Alto Networks

  • Firewalls: Se ha publicado la actualización de contenido 8500 a partir de pan-os 8.1 sobre sus suscripciones de “Prevención de amenazas” que añade nuevos tipos de ataque (91994, 91995, 91991) para poder prevenir y bloquear los intentos de explotación de esta vulnerabilidad.
  • Cortex XDR: En Linux se ha comprobado que todos los agentes que ejecutan la versión 290-78377 del agente se encuentran protegidos frente a una cadena de ejecución compleja y en otros agentes se brinda la protección a través de Behavioral Threat Protection (BTP) sobre las posibles cargas maliciosas.
  • La Unit 42 sigue monitorizando los nuevos intentos de ejecución de esta vulnerabilidad para mejorar la protección de los clientes de Palo Alto.

SentinelOne

  • Desde SentineOne se ha llevado a cabo una actualización de su agente y se ha comprobado como es capaz de detectar la ejecución de una carga maliciosa a través de la exploración de la vulnerabilidad. Puede encontrar el video de demostración en el siguiente enlace.
Referencia: sentinelone.com

Fortinet

  • Desde Fortinet han actualizado su perfil de análisis de IPS en su versión 19.215 para añadir un nuevo tiempo firma (pache.Log4j.Error.Log.Remote.Code.Execution) con el que poder detectar y bloquear los intentos de explicación de la vulnerabilidad.
Referencia: fortinet.com

¿Qué productos están afectados?

Fortinet

(13/12/2021) Fortinet ha notificado que los siguientes productos de su gama se encuentran afectados por la vulnerabilidad y están trabajando en actualizarlos lo antes posible. Por el momento recomienda proteger estas entidades a través de los Firewalls.

  • FortiSIEM
  • FortiCASB
  • FortiPortal
  • FortiNAC
  • FortiConvertor
  • FortiAIOps
  • FortiNAC
  • FortiPolicy
  • ShieldX
  • FortiSOAR
  • FortiEDR Cloud

Referencia: fortiguard.com

SentinelOne

Las aplicaciones, productos e infraestructuras en soporte no se encuentran actualmente afectadas por la vulnerabilidad.

Referencia: sentinelone.com

Palo Alto Networks

Las aplicaciones, productos e infraestructuras en soporte no se encuentran actualmente afectadas por la vulnerabilidad.

Referencia: security.paloaltonetworks.com

Para más información contacte con nosotros para apoyarles en las actualizaciones u otros que necesite de los fabricantes que somos Partner y/o revisar la aplicabilidad de las soluciones que recomendamos para sus infraestructuras: info@optimumtic.com


OptimumTIC

OptimumTIC, Auditoria y Ciberseguridad al más alto nivel.

Siempre a la altura de nuestros clientes.

Contacta con nosotros

Plaça de Francesc Macià, 7
Barcelona 08029
Teléfono: 932 527 467
Email: info@optimumtic.com

Certificados en el Esquema Nacional de Seguridad

Certificados en el Esquema Nacional de Seguridad

Certificados en la ISO 27001

ISO 27001

Certificados en protocolo contra el covid-19

Protocolo contra el covid-19

Gestión Excelencia Empresarial

Gestión Excelencia Einforma

Empresa registrada en el INCIBE

Registrada en el INCIBE