Los problemas con Log4j continuaron acumulándose cuando la Apache Software Foundation (ASF) lanzó el viernes otro parche, la versión 2.17.0, para la biblioteca de registro ampliamente utilizada que podría ser aprovechada por actores maliciosos para organizar una denegación de servicio. (Ataque de DOS.
Registrada como CVE-2021-45105 (puntuación CVSS: 7.5), la nueva vulnerabilidad afecta a todas las versiones de la herramienta desde 2.0-beta9 a 2.16.0, que la organización sin fines de lucro de código abierto envió a principios de esta semana para remediar una segunda falla que podría resultar en la ejecución remota de código ( CVE-2021-45046 ), que, a su vez, surgió de una solución «incompleta» para CVE-2021-44228 , también llamada vulnerabilidad Log4Shell.
«Las versiones 2.0-alpha1 a 2.16.0 de Apache Log4j2 no protegieron de la recursividad incontrolada de las búsquedas autorreferenciales», explicó la ASF en un aviso revisado. «Cuando la configuración de registro usa un diseño de patrón no predeterminado con una búsqueda de contexto (por ejemplo, $$ {ctx: loginId}), los atacantes con control sobre los datos de entrada del mapa de contexto de subprocesos (MDC) pueden crear datos de entrada maliciosos que contienen un recursivo búsqueda, lo que da como resultado un StackOverflowError que terminará el proceso «.
Hideki Okamoto de Akamai Technologies y un investigador de vulnerabilidades anónimo han recibido el crédito de informar sobre la falla. Sin embargo, las versiones 1.x de Log4j no se ven afectadas por CVE-2021-45105.
Vale la pena señalar que la puntuación de gravedad de CVE-2021-45046, originalmente clasificada como un error DoS, se ha revisado desde 3.7 a 9.0, para reflejar el hecho de que un atacante podría abusar de la vulnerabilidad para enviar una cadena especialmente diseñada que conduce a «fuga de información y ejecución remota de código en algunos entornos y ejecución de código local en todos los entornos», corroborando un informe anterior de investigadores de seguridad de Praetorian.
Los responsables del proyecto también señalaron que las versiones 1.x de Log4j han llegado al final de su vida útil y ya no son compatibles, y que las fallas de seguridad descubiertas en la utilidad después de agosto de 2015 no se solucionarán, instando a los usuarios a actualizar a Log4j 2 para obtener las últimas correcciones. .
Las correcciones son las más recientes en lo que es una situación altamente dinámica, ya que la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) emitió una directiva de emergencia que obliga a los departamentos y agencias civiles federales a parchear inmediatamente sus sistemas de acceso a Internet para las vulnerabilidades de Apache Log4j antes del 23 de diciembre de 2021. , citando que las debilidades representan un «riesgo inaceptable».
El desarrollo también se produce cuando las fallas de Log4j han surgido como un vector de ataque lucrativo y un punto focal para la explotación por parte de múltiples actores de amenazas, incluidos piratas informáticos respaldados por países como China, Irán, Corea del Norte y Turquía, así como el ransomware Conti. gang, para llevar a cabo una serie de actividades maliciosas de seguimiento. Esta es la primera vez que la vulnerabilidad pasa desapercibida para un cartel de software criminal sofisticado.
«La explotación actual llevado a múltiples casos de uso a través del cual el grupo Conti probó las posibilidades de utilizar la Log4j 2 explotar», investigadores AdvIntel dijo . «Los delincuentes persiguieron apuntar a servidores Log4j 2 VMware vCenter específicos y vulnerables para realizar movimientos laterales directamente desde la red comprometida, lo que provocó que el acceso a vCenter afectara a las redes de víctimas de EE. UU. y Europa desde las sesiones de Cobalt Strike preexistentes».
Entre los otros para aprovechar el error se encuentran los mineros de criptomonedas, las redes de bots, los troyanos de acceso remoto, los agentes de acceso inicial y una nueva cepa de ransomware llamada Khonsari . La firma de seguridad israelí Check Point dijo que registró más de 3.7 millones de intentos de explotación hasta la fecha, con el 46% de esas intrusiones realizadas por grupos maliciosos conocidos.
