SISTEMAS AFECTADOS
- Apache Struts
- Apache Solr
- Apache Druid
- Apache Flink
- ElasticSearch
- Flume
- Apache Dubbo
- Logstash
- Kafka
- Spring-Boot-starter-log4j2
- Entre otros
DESCRIPCIÓN
Se ha revelado una vulnerabilidad critica de ejecucion de codigo remoto que esta haciendo activamente explotada y que afecta a multiples versiones relacionadas a Apache Log4j, el cual se usa amplimiante en muchas aplicaciones y se encuentra como dependencia incorporada en muchos productos comerciales o de codigo abierto.
La vulnerabilidad asociada al indentificador CVE-2021-44228 afecta a las versiones 2.0 a 2.14.1 de Apache Log4j, sin embargo, las versiones 1.x ya no son compatibles y también pueden ser vulnerables. Cualquier servicio o aplicación que utilice log4j para escribir datos de registro en el disco puede estar en riesgo y debe evaluarse.
REFERENCIA
- https://www.zdnet.com/article/security-warning-new-zero-day-in-the-log4j-java-library-is-already-being-exploited/
- https://www.lunasec.io/docs/blog/log4j-zero-day/
- https://www.randori.com/blog/cve-2021-44228/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
- https://logging.apache.org/log4j/2.x/
RECOMENDACIONES
Se recomienda actualizar a log4j-2.15.0-rc2. Para productos comerciales, instale las actualizaciones proporcionadas por el proveedor.
Se recomienda de manera preventiva bloquear en los equipos perimetrales los siguientes indicadores de compromisos que se han observados asociados a estos ataques:
https://raw.githubusercontent.com/CriticalPathSecurity/Public-Intelligence-Feeds/master/log4j.txt
https://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerability.html
Comomo solucion alternativa en las versiones anteriores (versiones> 2.10) los usuarios pueden cambiar log4j2.formatMsgNoLookups a ‘true’. Esto se puede hacer agregando la línea: ‘- Dlog4j2.formatMsgNoLookups = True’ al comando JVM para iniciar la aplicación.
Para descargar la lista completa de IoC’s: IoC-Log4j.txt