Apache Software Foundation (ASF) ha lanzado una nueva solución para la utilidad de registro Log4j después de que se descubrió que el parche anterior diseñado para abordar la falla CVE-2021-44228 recientemente revelada (también conocida como Log4Shell) tuviera configuraciones predeterminadas ".
“Se encontró que la corrección para la dirección CVE-2021-44228 en Apache Log4j 2.15.0 estaba incompleta en ciertas configuraciones no predeterminadas. Esto podría permitir a los atacantes controlar los datos de entrada del mapa de contexto de subprocesos (MDC) cuando la configuración de registro utiliza un diseño de patrón no predeterminado con una búsqueda de contexto (por ejemplo, $$ {ctx: loginId}) o un patrón de mapa de contexto de subprocesos ( % X,% mdc o% MDC) para crear datos de entrada maliciosos utilizando un patrón de búsqueda JNDI que da como resultado un ataque de denegación de servicio (DOS). Log4j 2.15.0 restringe las búsquedas JNDI LDAP a localhost de forma predeterminada. Tenga en cuenta que las mitigaciones anteriores relacionadas con la configuración, como establecer la propiedad del sistema log4j2.noFormatMsgLookup en verdadero, NO mitigan esta vulnerabilidad específica ”, dijo Apache.
La nueva vulnerabilidad, rastreada como CVE-2021-45046 , afecta a todas las versiones de Log4j desde 2.0-beta9 hasta 2.12.1 y 2.13.0 hasta 2.15.0. Los encargados del proyecto ya han lanzado la nueva versión, Log4j 2.16.0, para solucionar el problema. Log4j 2.16.0 soluciona el problema eliminando la compatibilidad con los patrones de búsqueda de mensajes y desactivando la funcionalidad JNDI (Java Naming and Directory Interface) de forma predeterminada.
JNDI es una interfaz de programación de aplicaciones (API) que proporciona funcionalidad de directorio y nombres a las aplicaciones escritas con el lenguaje de programación Java.
La falla original (CVE-2021-44228) en Log4j, una biblioteca de Java para registrar mensajes de error en aplicaciones, es una vulnerabilidad de inyección de código remoto, que existe debido a una validación de entrada incorrecta al procesar solicitudes LDAP y podría ser abusada por los actores de amenazas para secuestrar servidores y aplicaciones a través de Internet. La divulgación de la falla provocó una alarma generalizada porque Log4j se usa ampliamente en sistemas empresariales comúnmente implementados.
El Centro Nacional de Seguridad Cibernética de los Países Bajos publicó una larga lista de software afectado por CVE-2021-44228.
Además, según varias firmas de ciberseguridad, los atacantes comenzaron a escanear Internet en busca de sistemas vulnerables y lanzar malware pocas horas después de que la vulnerabilidad se divulgara públicamente.
“Los primeros informes del 10 de diciembre mostraban simplemente miles de intentos de ataque, que se elevaron a más de 40.000 durante el sábado 11 de diciembre. Veinticuatro horas después del brote inicial, nuestros sensores registraron casi 200.000 intentos de ataque en todo el mundo, aprovechando esta vulnerabilidad ”, informó la empresa de ciberseguridad Check Point . “Esta vulnerabilidad, debido a la complejidad de parchearla y la facilidad para explotarla, parece que permanecerá con nosotros en los próximos años, a menos que las empresas y los servicios tomen medidas inmediatas para prevenir los ataques a sus productos mediante la implementación de una protección”.
https://blog.checkpoint.com/2021/12/13/the-numbers-behind-a-cyber-pandemic-detailed-dive/
