La Apache Software Foundation ha lanzado una actualización de seguridad de emergencia que corrige una vulnerabilidad de día 0 (CVE-2021-44228) en la popular biblioteca de registro Log4j, que es parte del Proyecto Apache Logging.
El parche fue lanzado como parte del 2.15.0 liberar.
La vulnerabilidad se denominó Log4Shell y se calificó 10 fuera de 10 puntos en la escala de calificación de vulnerabilidad CVSS. El error permite la ejecución remota de código arbitrario. (ICE). El investigador de seguridad de la información de ayer agravó el problema., p0rz9 publicó un exploit PoC en Twitter, y la vulnerabilidad se puede explotar de forma remota, y esto no requiere habilidades técnicas especiales.
El problema se descubrió originalmente mientras buscaba errores en los servidores de Minecraft., pero Log4j está presente en casi todas las aplicaciones corporativas y servidores Java.. Por ejemplo, La biblioteca se puede encontrar en casi todos los productos empresariales que lanzó Apache Software Foundation., incluyendo puntales Apache, Apache Flink, Druida apache, Canal Apache, apache solr, Apache Flink, Apache Kafka, apache dubbo, etcétera. Log4j también se utiliza activamente en varios proyectos de código abierto., incluyendo Redis, Búsqueda elástica, Logstash elástico, Guía, y otros.
De este modo, Las empresas que utilizan cualquiera de estos productos también son indirectamente vulnerables a los ataques a Log4Shell., pero puede que incluso lo sepas. Los especialistas en seguridad de la información ya informan que las soluciones de gigantes como Apple, Amazonas, Gorjeo, Llamarada de nube, Vapor, Tencent, Baidu, HICE, J.D., NetEase, y probablemente miles de otras empresas pueden ser vulnerables a Log4Shell.
p0rz9 escribió que CVE-2021-44228 solo podría explotarse si el parámetro log4j2.formatMsgNoLookups está configurado en falso. ConocidoSec 404 Equipo informes ese log4j 2.15.0 ha establecido este parámetro en verdadero para evitar ataques. Usuarios de Log4j que han actualizado a la versión 2.15.0 y luego establecer la bandera en falso volverá a ser vulnerable a ataques.
Además, Usuarios de Log4j que no han actualizado, pero he puesto la bandera en verdadero, seguirá siendo capaz de bloquear ataques incluso en versiones anteriores.
Desgraciadamente, Esto también significa que todas las versiones anteriores están en riesgo., donde este parámetro se establece en falso por defecto. Eso es, todas las versiones anteriores de Log4j, empezando con 2.10.0, son vulnerables.
Según expertos de Paquetes malos y ruido gris, varios ciberdelincuentes ya están escaneando la red en busca de aplicaciones que puedan ser vulnerables a Log4Shell, lo que significa que casi no queda tiempo para instalar parches.
Permítanme recordarles que también hablé del hecho de que el Un error de IIS con potencial de gusano representa una amenaza para los servidores WinRM.