Los problemas con Log4j continuaron acumulándose cuando Apache Software Foundation (ASF) lanzó otra solución el viernes, la versión 2.17.0, para una biblioteca de registro ampliamente utilizada que podría ser aprovechada por actores maliciosos para crear una denegación de servicio. (Ataque de DOS.
Rastreado como CVE-2021-45105 (Puntaje CVSS: 7.5), la nueva vulnerabilidad afecta a todas las versiones de la herramienta desde 2.0-beta9 a 2.16.0, que una organización de código abierto sin fines de lucro entregó a principios de esta semana para corregir un segundo error que podría conducir a la ejecución remota de código ( CVE-2021-45046), que a su vez provino de una corrección «incompleta» de CVE-2021-44228, también llamada vulnerabilidad Log4Shell.
«Las versiones 2.0-alpha1 a 2.16.0 de Apache Log4j2 no protegen contra la recursividad incontrolada de las búsquedas autorreferenciales», explicó la ASF en una recomendación revisada. «Cuando una configuración de registro utiliza un diseño de patrón de búsqueda contextual no predeterminado (por ejemplo, $$ {ctx: loginId}), los atacantes con datos de entrada de mapeo de subprocesos contextuales (MDC) pueden generar datos de entrada maliciosos que contienen búsquedas recursivas que dan como resultado StackOverflowError , que finaliza el proceso «.
Hideki Okamoto de Akamai Technologies y un investigador de vulnerabilidades anónimo han recibido el crédito de informar del error. Sin embargo, la versión 1.x de Log4j no se ve afectada por CVE-2021-45105.
Vale la pena señalar que la puntuación de gravedad de CVE-2021-45046, originalmente clasificada como un error DoS, se ha revisado desde 3.7 a 9.0 para reflejar el hecho de que un atacante podría aprovechar una vulnerabilidad para enviar una cadena especialmente diseñada que conduce a una «fuga» de información y ejecución remota de código en algunos entornos y ejecución de código local en todos los entornos ”, confirmando un informe anterior de investigadores de seguridad pretorianos.
Los administradores del proyecto también notaron que las versiones de Log4j 1.x habían llegado al final de su vida útil y ya no son compatibles, y que las vulnerabilidades de seguridad descubiertas en la utilidad después de agosto de 2015 no se corrigieron, y alentaron a los usuarios a actualizar a Log4j 2 para obtener el últimas correcciones. .
Las correcciones son las más recientes en una situación altamente dinámica, ya que la Agencia de Seguridad Cibernética y Seguridad de los EE. UU. (CISA) ha emitido una directiva de emergencia que ordena a los ministerios y agencias civiles federales que reparen de inmediato sus sistemas de Internet para la vulnerabilidad Apache Log4j antes del 23 de diciembre. 2021. refiriéndose al hecho de que las debilidades plantean un «riesgo inaceptable».
Este desarrollo también se produce cuando los errores de Log4j han demostrado ser un vector de ataque lucrativo y una fuente de abuso para muchos actores de amenazas, incluidos los piratas informáticos respaldados por la nación de China, Irán, Corea del Norte y Turquía, así como el ransomware Conti. pandilla para llevar a cabo una serie de actividades dañinas posteriores. Esta es la primera vez que la vulnerabilidad pasa desapercibida para un cártel criminal sofisticado.
«El uso concurrente ha llevado a muchos casos de uso en los que Conti ha probado el uso del exploit Log4j 2», dijeron los investigadores de AdvIntel. «Los delincuentes se centraron en el Log4j 2 VMware vCenter específico y vulnerable [servers] para el movimiento lateral directamente desde la red comprometida, lo que resulta en un enfoque de vCenter que afecta a las redes de víctimas estadounidenses y europeas de las sesiones de Cobalt Strike existentes «.
Otros que explotan el error son los mineros de criptomonedas, las redes de bots, los troyanos para acceso remoto, los corredores para el acceso inicial y una nueva variedad de ransomware llamada Khonsari. La firma de seguridad israelí Check Point dijo que ha registrado más de 3,7 millones de intentos de abuso hasta la fecha, y el 46% de estas intrusiones son realizadas por grupos maliciosos conocidos.
