El pasado 10 de diciembre se anunció la detección de una vulnerabilidad crítica en la utilidad Log4j, desarrollada por Apache Software Foundation y cuya explotación ha generado problemas para miles de implementaciones en línea.
Identificada como CVE-2021-44228 y bautizada como Log4Shell, esta falla permitiría a los actores de amenazas enviar un fragmento de código malicioso que se registre en Log4j v2.0 y anteriores, lo que permitiría el acceso total al sistema afectado y la capacidad de ejecutar código de forma remota.
Mientras que los administradores de implementaciones en línea y desarrolladores de software siguen lidiando con esta falla, especialistas en ciberseguridad reportan la detección de dos nuevas vulnerabilidades asociadas con esta utilidad y que podrían poner en riesgo millones de implementaciones en todo el mundo.
Parches incompletos
Según un reporte de Cyber Kendra, este martes se confirmó el hallazgo de CVE-2021-45046, un error derivado de la implementación incorrecta de un parche para abordar la falla anterior, específicamente en la corrección de errores en ciertas configuraciones no predeterminadas.
En más detalles, los investigadores mencionan que la mitigación de la falla anterior requería actualizar a la más reciente versión disponible de Log4j (v2.15); no obstante, esta actualización aún dejaba miles de sistemas vulnerables a ataques de ejecución remota de código (RCE) si solo se habilitaba la marca noMsgFormatLookups o si se configuraba %m{nolookups} al establecer datos en ThreadContext con datos controlados por los atacantes.
Los actores de amenazas con control sobre los datos de entrada del mapa de contexto de subprocesos (MDC) cuando la configuración de registro utiliza un diseño de patrón no predeterminado con una búsqueda de contexto o un patrón de mapa de contexto de subprocesos podrían crear datos de entrada maliciosos utilizando un patrón de búsqueda JNDI, resultando en una condición de denegación de servicio (DoS).
La corrección completa de esta falla requiere actualizar Log4j a v2.16.0.
Una tercera falla aparece
Por otra parte, esta semana los investigadores de la firma de seguridad Praetorian revelaron la detección de una tercera vulnerabilidad en Log4j v2.15.0 cuya explotación permitiría a los actores de amenazas extraer datos confidenciales en circunstancias determinadas.
Los investigadores no compartieron grandes detalles técnicos sobre la falla, pero aseguran que sus hallazgos ya han sido presentados a Apache Foundation, por lo que recomiendan a los usuarios de implementaciones afectadas actualizar a v2.16.0 cuanto antes, aunque no se sabe con certeza si esta versión es inmune a la explotación de esta nueva vulnerabilidad, que no ha recibido clave de identificación CVE.
Esta semana, CloudFlare y Microsoft detectaron a múltiples actores de amenazas explotando las fallas Log4Shell con diversos fines, aunque una de las campañas de hacking que más llamó la atención de la comunidad de la ciberseguridad fue detectada por Bitdefender, cuyos investigadores descubrieron que un grupo de hacking estaba explotando esta falla para infectar los sistemas afectados con el ransomware Khonsari.
Desde la aparición de estas peligrosas fallas, los investigadores han estado tratando de encontrar los mejores métodos de mitigación posibles, además de que los desarrolladores de Log4j han estado en comunicación constante con los usuarios a fin de que se mantengan al tanto de cualquier nuevo riesgo de seguridad relacionado con Log4Shell.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad