imágenes falsas
Se lanzó un código de explotación para una vulnerabilidad grave de ejecución de código en Log4j, una utilidad de registro de código abierto que se usa en innumerables aplicaciones, incluidas las utilizadas por las grandes organizaciones empresariales y también en las versiones Java de Minecraft, informaron varios sitios web el jueves pasado.
La noticia de la vulnerabilidad salió a la luz por primera vez en los sitios que atienden a los usuarios de Minecraft, el juego más vendido de todos los tiempos. Los sitios advirtieron que los piratas informáticos podrían ejecutar código malicioso en los servidores o clientes de Minecraft manipulando los mensajes de registro, incluso los que se escriben en los mensajes de chat. La imagen se volvió aún más espantosa a medida que el log4j se identificó como la fuente de la vulnerabilidad y se descubrió que el código de explotación se publicó en línea.
Un gran problema
“El lado de Minecraft parece una tormenta perfecta, pero sospecho que veremos que las aplicaciones y dispositivos afectados seguirán identificándose durante mucho tiempo”, dijo HD Moore, fundador y director de tecnología de la plataforma de descubrimiento de redes Rumble. “Este es un gran problema para los entornos vinculados a tiempos de ejecución de Java más antiguos: interfaces web para varios dispositivos de red, entornos de aplicaciones más antiguos que utilizan API heredadas y servidores de Minecraft, debido a su dependencia de versiones anteriores para la compatibilidad de mod”.
Ya hay servidores de informes funcionando Escaneos en Internet en intentos de localizar servidores vulnerables.
@GreyNoise actualmente está viendo 2 IP únicas escaneando Internet en busca de la nueva vulnerabilidad RCE de Apache Log4j (aún no se ha asignado CVE).
Una etiqueta para rastrear esta actividad https://t.co/QckU3An40q estará disponible en breve y se vinculará como respuesta cuando se publique.– remy🐀 (@_mattata) 10 de diciembre de 2021
Log4j está incorporado en una serie de marcos populares, incluidos Apache Struts2, Apache Solr, Apache Druid y Apache Flink. Eso significa que una cantidad vertiginosa de aplicaciones de terceros también pueden ser vulnerables a exploits que tienen la misma gravedad que las que amenazan a los usuarios de Minecraft.
En el momento en que se publicó esta publicación, no se sabía mucho sobre la vulnerabilidad. Una de las únicas fuentes que proporcionó un número de seguimiento de la vulnerabilidad fue Github, que dijo que es CVE-2021-44228. La firma de seguridad Cyber Kendra informó el jueves por la noche un Log4j RCE día cero publicado en Internet y coincidió con Moore en que “actualmente hay muchos sistemas populares en el mercado que se ven afectados”.
Cyber Kendra dijo que en noviembre el equipo de seguridad de Alibaba Cloud reveló una vulnerabilidad en Log4j2, el sucesor de Log4j, que surgió de funciones de análisis recursivas, que los atacantes podrían explotar mediante la construcción de solicitudes maliciosas que desencadenaron la ejecución remota de código. La empresa instó encarecidamente a las personas a utilizar la última versión de Log4j2 disponible aquí
Informes adicionales de la firma de seguridad LunaSec dice que los servicios en la nube de Steam y Apple iCloud también sido encontrado ser vulnerable. Los investigadores de la compañía también señalaron que una vulnerabilidad de alta gravedad diferente en los struts llevó al compromiso de Equifax en 2017, que reveló detalles confidenciales para más de 143 millones de consumidores estadounidenses.
La publicación de LunaSec también proporcionó ejemplos de código vulnerable y los pasos involucrados en un exploit.
La Fundación Apache aún no ha revelado la vulnerabilidad, aunque esta página reconoce la reciente reparación de una grave vulnerabilidad. Los representantes de la Fundación Apache no respondieron a un correo electrónico.
Lo que significa para Minecraft
El foro de juego Spigot dicho que las versiones 1.8.8 de Minecraft hasta la versión 1.18 más actual son todas vulnerables, al igual que otros servidores de juegos populares como Wynncraft. El servidor de juegos y el sitio de noticias Hypixel, mientras tanto, instó a los jugadores de Minecraft tener un cuidado especial.
“El problema puede permitir acceso remoto a su computadora a través de los servidores en los que inicia sesión”, Escribieron los representantes del sitio. “Eso significa que cualquier servidor público al que acceda crea un riesgo de ser pirateado”.
La reproducción de exploits para esta vulnerabilidad en Minecraft no es sencilla porque el éxito depende no solo de la versión de Minecraft que se esté ejecutando, sino también de la versión del marco de Java sobre el que se ejecuta la aplicación Minecraft. Parece que las versiones anteriores de Java tienen menos protecciones de seguridad integradas que facilitan las vulnerabilidades.
Spigot y otras fuentes han dicho que agregar la bandera JVM -Dlog4j2.formatMsgNoLookups=true neutraliza la amenaza para la mayoría de las versiones de Java. Spigot y muchos otros servicios ya han insertado la bandera en los juegos que ponen a disposición de los usuarios.
Para agregar la bandera, los usuarios deben ir a su lanzador, abrir la pestaña de instalaciones, seleccionar la instalación en uso y hacer clic en “…”> “Editar”> “MÁS OPCIONES”, y pegar -Dlog4j2.formatMsgNoLookups=true al final de las banderas JVM.
Por el momento, las personas deben prestar mucha atención a esta vulnerabilidad y su potencial para desencadenar ataques de alto impacto contra una amplia variedad de aplicaciones y servicios. Para los usuarios de Minecraft, eso significa mantenerse alejado de servidores desconocidos o usuarios no confiables. Para los usuarios de software de código abierto, significa verificar si se basa en Log4j o Log4j2 para el registro. Esta es una historia de última hora. Las actualizaciones seguirán si hay más información disponible.