Vulnerabilidad crítica de ejecución remota de código en Log4j

Tipo de alerta Vulnerabilidad
Fecha de publicación: diciembre 12, 2021 12:12 am Nivel de importancia: Alta

SISTEMAS AFECTADOS

  • Apache Struts
  • Apache Solr
  • Apache Druid
  • Apache Flink
  • ElasticSearch
  • Flume
  • Apache Dubbo
  • Logstash
  • Kafka
  • Spring-Boot-starter-log4j2
  • Entre otros

DESCRIPCIÓN

Se ha revelado una vulnerabilidad critica de ejecucion de codigo remoto  que esta haciendo activamente explotada y que afecta a multiples versiones relacionadas a Apache Log4j, el cual se usa amplimiante en muchas aplicaciones y se encuentra como dependencia incorporada en muchos productos comerciales o de codigo abierto.

La vulnerabilidad asociada al indentificador CVE-2021-44228 afecta a las versiones 2.0 a 2.14.1 de Apache Log4j, sin embargo, las versiones 1.x ya no son compatibles y también pueden ser vulnerables. Cualquier servicio o aplicación que utilice log4j para escribir datos de registro en el disco puede estar en riesgo y debe evaluarse.

REFERENCIA

RECOMENDACIONES

Se recomienda actualizar a log4j-2.15.0-rc2. Para productos comerciales, instale las actualizaciones proporcionadas por el proveedor.

Se recomienda de manera preventiva bloquear en los equipos perimetrales los siguientes indicadores de compromisos que se han observados asociados a estos ataques:

https://raw.githubusercontent.com/CriticalPathSecurity/Public-Intelligence-Feeds/master/log4j.txt

https://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerability.html

Comomo solucion alternativa en las versiones anteriores (versiones> 2.10) los usuarios pueden cambiar log4j2.formatMsgNoLookups a ‘true’.  Esto se puede hacer agregando la línea: ‘- Dlog4j2.formatMsgNoLookups = True’ al comando JVM para iniciar la aplicación.

Para descargar la lista completa de IoC’s: IoC-Log4j.txt

Ir al contenido