Apache Software Foundation (ASF) ha publicado una actualización de seguridad para su utilidad de registro Log4j para abordar una falla RCE recientemente descubierta. La última actualización marca el quinto problema de seguridad descubierto en el software durante el mes pasado.
Rastreado como CVE-2021-44832,el error existe debido a una validación de entrada incorrecta y permite a un usuario remoto con permiso para modificar el archivo de configuración de registro construir una configuración maliciosa utilizando un JDBC Appender con una fuente de datos que hace referencia a un URI JNDI que puede ejecutar código remoto.
"Las versiones 2.0-beta7 a 2.17.0 de Apache Log4j2 (excluyendo las versiones de corrección de seguridad 2.3.2 y 2.12.4) son vulnerables a un ataque de ejecución remota de código (RCE) en el que un atacante con permiso para modificar el archivo de configuración de registro puede construir una configuración maliciosa utilizando un JDBC Appender con una fuente de datos que hace referencia a un URI JNDI que puede ejecutar código remoto. Este problema se soluciona limitando los nombres de las fuentes de datos JNDI al protocolo java en las versiones 2.17.1, 2.12.4 y 2.3.2 de Log4j2", dijo Apache.
Según el investigador de seguridad de Checkmarx Yaniv Nizry, quien descubrió el problema, la complejidad de CVE-2021-44832 es mayor que la CVE-2021-44228 original porque requiere que el atacante tenga control sobre la configuración.
"A diferencia de Logback, en Log4j hay una función para cargar un archivo de configuración remota o para configurar el registrador a través del código, por lo que se podría lograr una ejecución de código arbitrario con [un] ataque MitM, la entrada del usuario terminando en una variable de configuración vulnerable o modificando el archivo de configuración", explicóNizry.
Desde la divulgación de Log4Shell (CVE-2021-44228), múltiples actores de amenazas se apresuraron a incorporar la falla en sus ataques. Además, entre los grupos de hackers que se han observado explotando la vulnerabilidad, los investigadores de seguridad han visto actores maliciosos que se cree que trabajan en nombre del gobierno chino. A principios de este mes, la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) lanzó un escáner para identificar servidores web vulnerables afectados por las vulnerabilidades de ejecución remota de código Apache Log4j recientemente divulgadas(CVE-2021-44228 y CVE-2021-45046).
