Investigadores de ciberseguridad han descubierto un vector de ataque completamente nuevo que permite explotar la vulnerabilidad log4Shell en los servidores localmente mediante el uso de una conexión JavaScript WebSocket.
"Este vector de ataque recién descubierto significa que cualquier persona con una versión vulnerable de Log4j en su máquina o red privada local puede navegar por un sitio web y potencialmente desencadenar la vulnerabilidad", dijoMatthew Warner, CTO de Blumira. "En este punto, no hay pruebas de explotación activa. Este vector expande significativamente la superficie de ataque y puede afectar a los servicios que incluso se ejecutan como localhost que no estaban expuestos a ninguna red".
WebSockets permite comunicaciones bidireccionales entre un navegador web (u otra aplicación cliente) y un servidor, a diferencia de HTTP, que es unidireccional donde el cliente envía la solicitud y el servidor envía la respuesta.
Si bien el problema se puede resolver actualizando todos los entornos de desarrollo local y orientados a Internet a Log4j 2.16.0, Apache lanzó el viernes la versión 2.17.0,que corrige una vulnerabilidad de denegación de servicio (DoS) rastreada como CVE-2021-45105 (puntuación CVSS: 7.5), lo que la convierte en la tercera falla de Log 4j2 que sale a la luz después de CVE-2021-45046 y CVE-2021-44228.
La lista completa de fallas descubiertas hasta la fecha en el marco de registro después de que se divulgó el error de ejecución remota de código original es la siguiente:
- CVE-2021-44228 (puntuación CVSS: 10.0): vulnerabilidad de ejecución remota de código que afecta a las versiones de Log4j de 2.0-beta9 a 2.14.1 (corregido en la versión 2.15.0)
- CVE-2021-45046 (puntuación CVSS: 9.0): vulnerabilidad de fuga de información y ejecución remota de código que afecta a las versiones de Log4j de 2.0-beta9 a 2.15.0, excluyendo 2.12.2 (corregido en la versión 2.16.0)
- CVE-2021-45105 (puntuación CVSS: 7,5): vulnerabilidad de denegación de servicio que afecta a las versiones de Log4j de 2.0-beta9 a 2.16.0 (corregida en la versión 2.17.0)
- CVE-2021-4104 (puntuación CVSS: 8.1) - Un error de deserialización no confiable que afecta a Log4j versión 1.2 (No hay corrección disponible; Actualizar a la versión 2.17.0)
"No debería sorprendernos que se descubrieran vulnerabilidades adicionales en Log4j dado el enfoque específico adicional en la biblioteca", dijo Jake Williams, CTO y cofundador de la firma de respuesta a incidentes BreachQuest. "Al igual que Log4j, este verano la divulgación original de la vulnerabilidad printNightmare condujo al descubrimiento de múltiples vulnerabilidades distintas adicionales. El descubrimiento de vulnerabilidades adicionales en Log4j no debería causar preocupación por la seguridad de log4j en sí. En todo caso, Log4j es más seguro debido a la atención adicional prestada por los investigadores".
El último desarrollo se produce cuando una serie de actores de amenazas se han acumulado en las fallas de Log4j para montar una variedad de ataques, incluidas las infecciones de ransomware que involucran al grupo Conti con sede en Rusia y una nueva cepa de ransomware llamada Khonsari. Además, la falla de ejecución remota de código Log4j también ha abierto la puerta a una tercera cepa de ransomware conocida como TellYouThePass que se está utilizando en ataques contra dispositivos Windows y Linux, según investigadores de Sangfor y Curated Intel.
Bitdefender Honeypots, indica que hay actualmente ataques de dia cero de Log4j en curso.
La vulnerabilidad ubicua y fácilmente explotada, además de generar hasta 60 variaciones, ha presentado una ventana de oportunidad perfecta para los adversarios, con la firma rumana de ciberseguridad Bitdefender señalando que más del 50% de los ataques están aprovechando el servicio de anonimato Tor para enmascarar sus verdaderos orígenes.
"En otras palabras, los actores de amenazas que explotan Log4j están enrutando sus ataques a través de máquinas que están más cerca de sus objetivos previstos y solo porque no veamos países comúnmente asociados con amenazas de ciberseguridad en la parte superior de la lista no significa que los ataques no se originaron allí", dijoMartin Zugec, director de soluciones técnicas de Bitdefender.
Según los datos de telemetría recopilados entre el 11 y el 15 de diciembre, solo Alemania y los Estados Unidos representaron el 60% de todos los intentos de explotación. Los objetivos de ataque más comunes durante el período de observación fueron los Estados Unidos, Canadá, el Reino Unido, Rumania, Alemania, Australia, Francia, los Países Bajos, Brasil e Italia.
Google: Más de 35,000 paquetes Java afectados por la falla Log4j
El desarrollo también coincide con el análisis del equipo de Open Source Insights de Google, que encontró que aproximadamente 35,863 paquetes javaianos, que representan más del 8% del repositorio de Maven Central, usan versiones vulnerables de la biblioteca Apache Log4j. De los artefactos afectados, solo alrededor de 7,000 paquetes tienen una dependencia directa de Log4j.
