El 24 de noviembre de 2021, Apache fue notificado sobre la vulnerabilidad de ejecución de código remoto Log4j por el equipo de Seguridad de Alibaba Cloud. La vulnerabilidad en la biblioteca Apache Log4j tiene el potencial de tener un impacto a gran escala y está siendo activamente explotada en el entorno salvaje.
Log4j es una biblioteca de registro común utilizada en la mayoría de las aplicaciones Java, incluidos los sistemas empresariales que registran información de registro. Esta vulnerabilidad es una explotación trivial, lo que significa que puede ser muy fácil de llevar a cabo, y permite la ejecución de código remoto y el control de mensajes de registro para cargar y ejecutar código malicioso en el entorno.
Comprender la vulnerabilidad.
Los marcos de registro suelen considerarse puramente como datos, sin embargo, Log4j 2.0 incluye «búsquedas» que incluyen la Interfaz de Nombres y Directorios de Java (JNDI), que no estaban restringidas y, por lo tanto, llevaron a la vulnerabilidad. JNDI es una API para servicios de directorio que permite a los administradores interactuar con LDAP o DNS para buscar datos y otros recursos. Si actores malintencionados, incluso aquellos no tan sofisticados, cargan una clase Java no confiable, los servidores víctimas pueden ejecutar potencialmente código no autorizado.
Cómo RidgeBot puede ayudar.
Para evitar que se produzca una ejecución remota de código (RCE) que comprometa la red, –Ridge Security– ha añadido capacidades para detectar y explotar la vulnerabilidad de Apache Log4j desde la versión 3.8 de RidgeBot.
Usando RidgeBot, puedes probar de manera segura si tu servidor de sitio web es vulnerable y si tu entorno permite que sea explotado. A pesar de que hayas parcheado tus sistemas, recomendamos probar el parche y asegurarte de que funcione correctamente en tu entorno. Con esta prueba de vulnerabilidad en su lugar, puedes mantener un paso adelante de los hackers.
Estas instantáneas te brindan una vista de lo que RidgeBot 3.8 ofrece en las pruebas de vulnerabilidad a los administradores de seguridad.
Figura 1. Vulnerabilidad RCE de Apache Log4j-2 encontrada.
Figura 2. Prueba de una explotación exitosa: Shell web comprometido.
Figura 3. Visualización de la ruta de ataque.
Qué puedes hacer.
- En primer lugar, comprende la vulnerabilidad y el riesgo para tu entorno.
- Descarga el parche, que está disponible actualmente y es la acción más sólida que los equipos de seguridad pueden tomar para eliminar el riesgo de ejecución de código remoto.
- Opcionalmente, revisa la versión de Log4j instalada en los servidores Apache y, si es necesario, desactiva la funcionalidad de búsqueda en servidores remotos.
- Contacta a Ridge Security para una prueba de validación.
Conoce más.