Seleccionar página

Intrusión a gran escala causada por la vulnerabilidad de Log4j2

Introducción

Recientemente, se han revelado los detalles de una vulnerabilidad de ejecución remota de código en Apache Log4j2. Una vez que la misma sea intervenida por un atacante, causará graves daños. La vulnerabilidad tiene un rango de impacto extremadamente amplio y puede tener graves consecuencias. Recomendamos que las organizaciones inicien una respuesta de emergencia para repararla inmediatamente.

Apache Log4j2 es un excelente marco de registro de Java. Esta herramienta reescribe el marco Log4j e introduce un gran número de características. El marco de registro se incorpora comúnmente con el sistema de servicios web. La vulnerabilidad aprovecha la insuficiente sanitización de los datos suministrados por el usuario en el servicio de búsqueda de nombres de dominio o directorios para permitir potencialmente a los atacantes construir peticiones maliciosas para desencadenar vulnerabilidades de ejecución remota de código.

Versión afectada

2.0 <= Apache Log4j <= 2.15.0-rc1

Sugerencias de defensa y corrección

La explotación de la vulnerabilidad no requiere una configuración especial. El equipo de seguridad ha verificado que Apache Struts2, Apache Solr, Apache Druid, Apache Flink, etc. están afectados. Dado que este componente es ampliamente utilizado, se recuerda a los usuarios de Apache Log4j2 que tomen medidas de seguridad lo antes posible para evitar los ataques de la vulnerabilidad.

Basándonos en las características actuales de la misma, recomendamos lo siguiente:

1.Solución oficial: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2.Modificar el parámetro jvm -Dlog4j2.formatMsgNoLookups=true

3.Modificar la configuración log4j2.formatMsgNoLookups=True

4.Establecer la variable de entorno del sistema FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS en true

Hillstone NGFW, NIPS, sBDS pueden soportar la detección de la vulnerabilidad. Versión de la base de datos de firmas IPS: 2.1.434/3.0.86. Las firmas correspondientes: 334337, 334338, 334364.

 Figura 1. Vulnerabilidad de Log4j detectada por Hillstone NGFW, NIPS, sBDS

El WAF de Hillstone puede soportar la detección de la vulnerabilidad. Versión de la base de datos de firmas del WAF: 1.1.130. La firma correspondiente: 1070310151.

Figura 2. Vulnerabilidad de Log4j detectada por Hillstone WAF

La inteligencia de esta vulnerabilidad también está disponible en Hillstone iSource.

 Figura 3. Inteligencia de puntos calientes en Hillstone iSource