No quedaba protegida la recursividad incontrolada de las búsquedas autorreferenciales

Los problemas con Log4j continuaron acumulándose cuando la Apache Software Foundation (ASF) lanzó el viernes otro parche, la versión 2.17.0, para la biblioteca de registro ampliamente utilizada que podría ser aprovechada por actores maliciosos para organizar un ataque DOS de denegación de servicio.

Registrada como CVE-2021-45105 (puntuación CVSS: 7.5), la nueva vulnerabilidad afecta a todas las versiones de la herramienta desde 2.0-beta9 a 2.16.0, que la organización de código abierto sin fines de lucro envió a principios de esta semana para corregir una segunda falla que podría resultar en la ejecución remota de código (CVE-2021-45046 ), que, a su vez, se derivó de una solución "incompleta" para CVE-2021-44228 , también llamada vulnerabilidad Log4Shell.

"Las versiones 2.0-alpha1 a 2.16.0 de Apache Log4j2 no protegieron de la recursividad incontrolada de las búsquedas autorreferenciales", explicó la ASF en un aviso revisado . "Cuando la configuración de registro utiliza un diseño de patrón no predeterminado con una búsqueda de contexto (por ejemplo, $$ {ctx: loginId}), los atacantes con control sobre los datos de entrada de Thread Context Map (MDC) pueden crear datos de entrada maliciosos que contienen una búsqueda recursiva, lo que da como resultado un StackOverflowError que terminará el proceso".

Hideki Okamoto de Akamai Technologies y un investigador de vulnerabilidades anónimo han recibido el crédito de informar sobre la falla. Sin embargo, las versiones 1.x de Log4j no se ven afectadas por CVE-2021-45105.

Vale la pena señalar que la puntuación de gravedad de CVE-2021-45046, originalmente clasificada como un error DoS, se ha revisado desde 3.7 a 9.0, para reflejar el hecho de que un atacante podría abusar de la vulnerabilidad para enviar una cadena especialmente diseñada que conduce a "fuga de información y ejecución remota de código en algunos entornos y ejecución de código local en todos los entornos", corroborando un informe anterior de investigadores de seguridad de Praetorian.

Los responsables del proyecto también señalaron que las versiones 1.x de Log4j han llegado al final de su vida útil y ya no son compatibles, y que no se solucionarán las fallas de seguridad descubiertas en la utilidad después de agosto de 2015, instando a los usuarios a actualizar a Log4j 2 para obtener las últimas correcciones.

El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) emitió una directiva de emergencia que obliga a los departamentos y agencias civiles federales a parchear inmediatamente sus sistemas de acceso a Internet para las vulnerabilidades de Apache Log4j antes del 23 de diciembre de 2021, citando que las debilidades plantean un "riesgo inaceptable".

El desarrollo también se produce cuando las fallas de Log4j han surgido como un lucrativo vector de ataque y un punto focal para la explotación por parte de múltiples actores de amenazas, incluidos piratas informáticos respaldados por países como China, Irán, Corea del Norte y Turquía, así como el ransomware Conti. gang, para llevar a cabo una serie de actividades maliciosas de seguimiento. Esta es la primera vez que la vulnerabilidad pasa desapercibida para un sofisticado cartel criminal de software.

"La explotación actual llevó a múltiples casos de uso a través de los cuales el grupo Conti probó las posibilidades de utilizar el exploit Log4j 2", dijeron los investigadores de AdvIntel . "Los delincuentes persiguieron apuntar a los [servidores] Log4j 2 VMware vCenter específicos y vulnerables para el movimiento lateral directamente desde la red comprometida, lo que provocó que el acceso a vCenter afectara a las redes de víctimas de EE. UU. y Europa desde las sesiones preexistentes de Cobalt Strike".

Entre los otros para aprovechar el error se encuentran los mineros de criptomonedas, las redes de bots, los troyanos de acceso remoto, los agentes de acceso inicial y una nueva cepa de ransomware llamada Khonsari . La firma de seguridad israelí Check Point dijo que hasta la fecha registró más de 3.7 millones de intentos de explotación, con el 46% de esas intrusiones realizadas por conocidos grupos maliciosos.

Recibe gratis nuevos artículos por email:
Inicia sesión para suscribirte en Youtube