Universidad Veracruzana

Skip to main content

13/12/21 Vulnerabilidad en biblioteca de registro Apache

 

13 de diciembre de 2021

Vulnerabilidad en biblioteca de registro Apache
ID: 13122139

Descripción

Recientemente ha sido descubierta una vulnerabilidad de día cero explotada activamente sobre la biblioteca de registro de Apache Log4j basada en Java, ampliamente utilizada que puede utilizarse como vector de ataque para ejecutar código malicioso y permitir una toma de control completa de los sistemas vulnerables, este bug tiene el identificador CVE-2021-44228.

Las firmas de seguridad BitDefender, Cisco Talos, Huntress Labs y Sonatype han confirmado evidencia de escaneo masivo de aplicaciones afectadas en busca de servidores vulnerables.

Log4j se utiliza como un paquete de registro basada en Java y diponible en Apache. Tiene la capacidad de realizar búsquedas en la red utilizando la interfaz de directorio y nombres de Java para obtener servicios del protocolo ligero de acceso a directorios. Como resultado Log4j interpretará un mensaje de registro como una URL, lo buscará y lanzará cualquier carga útil ejecutable que contenga con todos los privilegios del programa principal. Los exploits se activan dentro del texto usando la sintaxis ${}, lo que les permite ser incluidos en los agentes de usuario del navegador u otros atributos conmúmente registrados.

Esta herramienta lo utilizan una variedad de software de varios fabricantes, incluidos Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, RedHat, Steam, Tesla, Twitter y videojuegos como Minecraft.

Si haces uso de esta herramienta, te sugerimos aplicar las actualización correspondiente.

Producto afectado

 

  • Apache versiones entre 2.0-beta y 2.14.1

Solución:

Apache Software Foundation ha publicado soluciones para contener esta vulnerabilidad. Algunas compañías como Microsoft y Sophos han publicado guías para detectar esta vulnerabilidad.

Si actualizar Log4j 2 a la versión 2.15.0 no es una opción viable, hay disponibles mitigaciones a corto plazo (aunque la actualización es el enfoque recomendado)

Para más información:

https://logging.apache.org/log4j/2.x/security.html

https://www.cisa.gov/uscert/ncas/current-activity/2021/12/10/apache-releases-log4j-version-2150-address-critical-rce

https://www.cert.govt.nz/it-specialists/advisories/log4j-rce-0-day-actively-exploited/


 

Enlaces de pie de página

Ubicación

Gonzalo Aguirre Beltrán, Zona Universitaria, 91090 Xalapa-Enríquez, Ver., México

Redes sociales

Transparencia

Código de ética

Última actualización

Fecha: 10 junio, 2024 Responsable: Coordinación de Gestión de Incidentes de Ciberseguridad Contacto: contactocsirt@uv.mx