Investigadores de la firma de ciberseguridad Cybereason han lanzado una «vacuna» que se puede utilizar para mitigar de forma remota una vulnerabilidad de ejecución de código Apache Log4j «Log4Shell» que se extiende por Internet.
Apache Log4j es una plataforma de registro basada en Java que se puede utilizar para analizar los registros de acceso al servidor web o los registros de aplicaciones. El software se usa mucho en plataformas empresariales, de comercio electrónico y de juegos, como Minecraft, que se apresuró a lanzar una versión parcheada hoy.
Temprano esta mañana, los investigadores publicaron una prueba de concepto para explotar una vulnerabilidad de ejecución remota de código de día cero en Apache Log4j rastreada como CVE-2021-44228 Se llama «Log4Shell».
Mientras que Apache se lanzó rápidamente Log4j 2.15.0 Para resolver la vulnerabilidad, la vulnerabilidad es trivial de explotar, empresas e investigadores de ciberseguridad Pronto los atacantes vieron la encuesta Y trata de piratear dispositivos vulnerables.
Dado que los actores de amenazas pueden explotar esta vulnerabilidad simplemente cambiando el agente de usuario de un navegador web y visitando un sitio vulnerable o buscando esta cadena en un sitio, rápidamente se convirtió en una pesadilla para la organización y algunos de los sitios web más famosos de la web.
Lanzamiento de la vacuna Log4Shell
La empresa de ciberseguridad Cybereason lanzó el viernes por la noche un script o «vacuna» que aprovecha la vulnerabilidad para detener una configuración en una instancia remota y vulnerable de Log4Shell. Básicamente, la vacuna corrige la vulnerabilidad explotando el servidor vulnerable.
Este proyecto se llama «Logout4Shell» y lo guía a través de la configuración de un servidor LDAP basado en Java e incluye una carga útil de Java que deshabilitará la configuración «trustURLCodebase» en el servidor Log4j remoto para reducir la vulnerabilidad.
Si bien la mejor mitigación contra esta vulnerabilidad es parchear log4j a 2.15.0 y superior, en la versión Log4j (> = 2.10) este comportamiento se puede mitigar configurando la propiedad del sistema log4j2.formatMsgNoLookups a true o eliminando la clase JndiLookup del classpath «, explica Cybereason en Página de GitHub Logout4Shell.
Además, si el servidor tiene Java Runtimes> = 8u121, la configuración predeterminada com.sun.jndi.rmi.object.trustURLCodebase Y com.sun.jndi.cosnaming.object.trustURLCodebase Se establece en falso, lo que reduce este riesgo.
Esto puede parecer una herramienta útil para neutralizar rápidamente la vulnerabilidad en un entorno que administra. Sin embargo, todavía existe una clara preocupación de que los actores de amenazas o los piratas informáticos de sombrero gris los seleccionen por comportamiento ilegal.
Es común que los atacantes pirateen un dispositivo y corrijan vulnerabilidades para evitar que otros piratas informáticos se apoderen de un servidor comprometido.
También existe la preocupación de que los investigadores de seguridad puedan usar la vulnerabilidad para reparar servidores de forma remota, aunque hacer algo así se consideraría ilegal.
Sin embargo, esto no ha impedido que Gray Hats use vulnerabilidades para desconectar los dispositivos vulnerables. En el pasado, hemos visto que el malware BrickerBot desconecta los enrutadores vulnerables y Gray odia explotar las impresoras en línea para emitir advertencias para desconectarlas.
Cuando le preguntamos a Cybereason si les preocupaba que se pudiera abusar de su proyecto Logout4Shell, el CTO de Cybereason, Yonatan Striem-Amit, le dijo a BleepingComputer que creen que los beneficios superan el potencial de abuso en este caso.
Si bien siempre es una posibilidad, es un problema calculado. Esta vulnerabilidad es muy crítica y ya se ha abusado ampliamente en Internet, y sentimos la necesidad de proporcionar algo para ayudar a los defensores de todo el mundo a ganar un tiempo valioso contra estos piratas informáticos.
Desde una perspectiva de impacto, es muy similar a la vulnerabilidad de Apache Struts que se utilizó para robar información de Equifax en mayo-julio de 2017 «. – Yonatan Stream-Amit, director de tecnología y cofundador de Cybereason.
Si está interesado en probar Logout4Shell, puede visitar Página del proyecto GitHub.
/cloudfront-us-east-2.images.arcpublishing.com/reuters/RT4XCXZ3VNOPXCGM4NQENLMIBQ.jpg)
