El parche que corrige el día 0 de Log4J crítico tiene su propia vulnerabilidad que está siendo explotada

El parche que corrige el día 0 de Log4J crítico tiene su propia vulnerabilidad  que está siendo explotada

Wikimedia Commons / Alex E. Proimos

El jueves pasado, el mundo se enteró de una explotación en estado salvaje de un día cero de ejecución de código crítico en Log4J, una utilidad de registro utilizada por casi todos los servicios en la nube y redes empresariales del planeta. Los desarrolladores de código abierto lanzaron rápidamente una actualización que corrigió la falla e instó a todos los usuarios a instalarla de inmediato.

Ahora, los investigadores informan que hay al menos dos vulnerabilidades en el parche, lanzado como Log4J 2.15.0, y que los atacantes están explotando activamente una o ambas contra objetivos del mundo real que ya han aplicado la actualización. Los investigadores instan a las organizaciones a instalar un nuevo parche, lanzado como versión 2.16.0, lo antes posible para corregir la vulnerabilidad, que se rastrea como CVE-2021-45046.

La solución anterior, los investigadores dijeron

el martes por la noche, “estaba incompleto en ciertas configuraciones no predeterminadas” e hizo posible que los atacantes realizaran ataques de denegación de servicio, que generalmente facilitan la desconexión completa de los servicios vulnerables hasta que las víctimas reinician sus servidores o toman otras acciones. La versión 2.16.0 “corrige este problema al eliminar la compatibilidad con los patrones de búsqueda de mensajes y deshabilitar la funcionalidad JNDI de forma predeterminada”, según el aviso de vulnerabilidad vinculado anteriormente.

El miércoles, los investigadores de la firma de seguridad Praetorian dijeron que hay un vulnerabilidad más seria en 2.15.0: una falla en la divulgación de información que se puede usar para descargar datos de los servidores afectados.

“En nuestra investigación, hemos demostrado que 2.15.0 todavía puede permitir la exfiltración de datos sensibles en determinadas circunstancias”, escribió el investigador pretoriano Nathan Sportsman. “Hemos pasado los detalles técnicos del problema a la Fundación Apache, pero mientras tanto, recomendamos encarecidamente que los clientes actualicen a 2.16.0 lo más rápido posible”.

Los investigadores publicaron lo siguiente video que muestra su exploit de prueba de concepto en acción:

Log4j 2.15.0 aún permite la exfiltración de datos confidenciales.

Los investigadores de la red de distribución de contenido Cloudflare, mientras tanto, dijo el miércoles que CVE-2021-45046 está ahora bajo explotación activa. La compañía instó a las personas a actualizar a la versión 2.16.0 lo antes posible.

La publicación de Cloudflare no dijo si los atacantes están usando la vulnerabilidad solo para realizar ataques DoS o si también la están explotando para robar datos. Los investigadores de Cloudflare no estuvieron disponibles de inmediato para aclarar. Los investigadores pretorianos tampoco estuvieron disponibles de inmediato para decir si están al tanto de ataques en la naturaleza que explotan la falla de exfiltración de datos. Tampoco proporcionaron detalles adicionales sobre la vulnerabilidad porque no querían proporcionar información que facilitaría a los piratas informáticos explotarla.

Leave a Reply

Your email address will not be published. Required fields are marked *