La Apache Software Foundation (ASF) lanzó el martes nuevos parches para contener una falla de ejecución de código arbitrario en Log4j que podría ser abusada por los actores de amenazas para ejecutar código malicioso en los sistemas afectados, lo que la convierte en la quinta deficiencia de seguridad descubierta en la herramienta en el lapso de un mes.
Rastreada como CVE-2021-44832 , la vulnerabilidad tiene una severidad de 6.6 en una escala de 10 e impacta todas las versiones de la biblioteca de registro desde 2.0-alpha7 a 2.17.0 con la excepción de 2.3.2 y 2.12.4. Si bien las versiones 1.x de Log4j no se ven afectadas, se recomienda a los usuarios actualizar a Log4j 2.3.2 (para Java 6), 2.12.4 (para Java 7) o 2.17.1 (para Java 8 y posterior).
«Las versiones 2.0-beta7 a 2.17.0 de Apache Log4j2 (excluidas las versiones de corrección de seguridad 2.3.2 y 2.12.4) son vulnerables a un ataque de ejecución remota de código (RCE) en el que un atacante con permiso para modificar el archivo de configuración de registro puede construir una configuración mediante un JDBC Appender de una fuente de datos con referencia a un URI JNDI que pueden ejecutar código remoto «, la ASF dijo en un aviso. «Este problema se soluciona limitando los nombres de las fuentes de datos JNDI al protocolo java en las versiones 2.17.1, 2.12.4 y 2.3.2 de Log4j2».
Aunque la ASF no otorgó créditos por el problema, el investigador de seguridad de Checkmarx, Yaniv Nizry, reclamó el crédito por informar la vulnerabilidad a Apache el 27 de diciembre.
«La complejidad de esta vulnerabilidad es mayor que la del CVE-2021-44228 original, ya que requiere que el atacante tenga control sobre la configuración», señaló Nizry . «A diferencia de Logback, en Log4j hay una función para cargar un archivo de configuración remota o para configurar el registrador a través del código, por lo que se podría lograr una ejecución de código arbitrario con [un] ataque MitM, la entrada del usuario termina en una variable de configuración vulnerable, o modificando el archivo de configuración «.
Con la última solución, los encargados del mantenimiento del proyecto han abordado un total de cuatro problemas en Log4j desde que la falla de Log4Shell salió a la luz a principios de este mes, sin mencionar una quinta vulnerabilidad que afecta a las versiones Log4j 1.2 que no se solucionará:
- CVE-2021-44228 (puntuación CVSS: 10.0): una vulnerabilidad de ejecución remota de código que afecta a las versiones de Log4j de 2.0-beta9 a 2.14.1 (corregida en la versión 2.15.0)
- CVE-2021-45046 (puntuación CVSS: 9.0): una fuga de información y una vulnerabilidad de ejecución remota de código que afecta a las versiones de Log4j de 2.0-beta9 a 2.15.0, excluyendo 2.12.2 (corregido en la versión 2.16.0)
- CVE-2021-45105 (puntuación CVSS: 7.5): una vulnerabilidad de denegación de servicio que afecta a las versiones de Log4j de 2.0-beta9 a 2.16.0 (corregida en la versión 2.17.0)
- CVE-2021-4104 (puntuación CVSS: 8.1): una falla de deserialización no confiable que afecta a la versión 1.2 de Log4j (no hay solución disponible; actualice a la versión 2.17.1)
El desarrollo también se produce cuando las agencias de inteligencia de Australia, Canadá, Nueva Zelanda, el Reino Unido y los EE. UU. Emitieron una advertencia conjunta sobre la explotación masiva de múltiples vulnerabilidades en la biblioteca de software Log4j de Apache por parte de adversarios nefastos.
