Se ha hecho pública una grave vulnerabilidad de código remoto en Log4J de Apache, un sistema de registro muy común utilizado por los desarrolladores de aplicaciones web y de servidor basadas en Java y otros lenguajes de programación.
La vulnerabilidad, a la que se le ha asignado el CVE-2021-44228 y denominada Log4Shell o LogJam, fue reportada el pasado 9 de diciembre por el ingeniero de ciberseguridad p0rz9, quien publicó un repositorio en GitHub anunciando su descubrimiento.
La vulnerabilidad afecta a una amplia gama de servicios y aplicaciones en servidores, lo que la hace extremadamente peligrosa, y las últimas actualizaciones para esas aplicaciones de servidor son urgentes.
Dada la gravedad y la naturaleza generalizada de esta vulnerabilidad, se recomienda a los clientes que verifiquen la presencia / uso de Log4J en todas las aplicaciones, sistemas y servicios en su entorno.
Recomendaciones:
Revisar si se está usando log4j
- PowerShell
- gci ‘C:\’ -rec -force -include *.jar -ea 0 | foreach {select-string «JndiLookup.class» $_} | select -exp Path
- Linux
- find / 2>/dev/null -regex «.*.jar» -type f | xargs -I{} grep JndiLookup.class «{}»
- Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar a True.
- Revisar aplicaciones de Java
- JAR file hashes
- Class file hashes (2.15.0 no es vulnerable, pero está incluida)
- JAR and Class hashes
- Escaneo de vulnerabilidad en Go
- Conjunto de reglas YARA para la detección de versiones de log4j vulnerables a CVE-2021-44228 by looking for the signature of JndiManager prior to 2.15.0.
Revisar si se ha tenido un aumento de conexiones DNS.
- Los intentos durante el fin de semana se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS durante el pasado fin de semana puede ser indicativo de explotación exitosa.
- Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j
- Revisar si tiene uno de los siguientes aplicativos:
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
- Revisar si tiene uno de los siguientes aplicativos:
- Revisar en logs los siguientes IOC:
https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi” se pueden apoyar en los siguientes scripts:
https://github.com/Neo23x0/log4shell-detector/ - Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.
Referencias:
Contacta con nosotros para solicitar nuestros servicios de consultoría en seguridad informática.