Actualizado el 14/12/2021
Log4Shell, también denominada LogJam, es una vulnerabilidad crítica en Log4j, una librería de código abierto en Java para registro de logs que es desarrollada por Apache Software Foundation y que es ampliamente utilizada.
Se trata de una vulnerabilidad de ejecución remota de código (CVE-2021-44228) descubierta por el equipo de Alibaba Cloud en noviembre y que fue parcheada en diciembre en la actualización 2.15.0 de Log4j; sin embargo, el viernes pasado se publicó un exploit para Log4Shell que permite a un atacante ejecutar código malicioso en un servidor vulnerable (incluso si no está expuesto a Internet) con solo modificar el user agent del navegador a un string en particular, lo que permitiría a un atacante incluso tomar control total del sistema comprometido. Esto incluye tanto servidores Linux como Windows.
Según los expertos, la vulnerabilidad es de fácil explotación y tiene impacto en la configuración por defecto de varios frameworks de Apache. Según explicó Apache Foundation, “un atacante que pueda controlar los mensajes de log o los parámetros de los mensajes de log para ejecutar código arbitrario desde servidores LDAP, cuando está habilitada la sustitución de mensajes de lookup”. Vale aclarar que con el lanzamiento de esta última actualización esta función ya no está habilitada por defecto.
El CERT de Suiza publicó un diagrama que muestra el proceso de explotación de la vulnerabilidad:
Heads up: We see a lot of scanning against the #log4j vulnerability and decided to publish a blog post with some guidance:https://t.co/dtEXfY1G16
Please patch now! pic.twitter.com/HSedlSed0V
— GovCERT.ch (@GovCERT_CH) December 12, 2021
Según explicaron varios medios y especialistas, actores maliciosos ya comenzaron a escanear la red en busca de servidores vulnerables para explotar el fallo (o utilizarlos en futuros ataques) y realizar acciones maliciosas como instalar malware, exfiltrar datos o tomar el control del servidor.
El CERT de Nueva Zelanda confirmó la activa explotación de esta vulnerabilidad y el 14 de diciembre los sistemas de ESET ya detectaban cientos de miles de intentos de explotación bloqueados a nivel mundial, siendo Estados Unidos, Reino Unido, Turquía, Alemania y Países Bajos los países donde se registran hasta el momento el mayor número de intentos de explotación.
#BREAKING #ESETresearch heatmap shows hundreds of thousands of blocked #log4j exploitation attempts most of which were in the 🇺🇸US, 🇬🇧the UK, 🇹🇷Turkey, 🇩🇪Germany and 🇳🇱the Netherlands. Find out more about the vulnerability in our blogpost: https://t.co/J7tfY8NXFh pic.twitter.com/F4RGwO2sIG
— ESET research (@ESETresearch) December 14, 2021
Más allá de la severidad de la vulnerabilidad, que recibió un puntaje de 10 sobre 10 en la escala de CVSS, el hecho de que es utilizada por miles de aplicaciones, plataformas de comercio electrónico, videojuegos y sitios web genera preocupación. De hecho, según publicó BleepingComputer, ya se detectaron ataques distribuyendo distintos mineros de criptomonedas, como Kinsing, así como los códigos maliciosos Mirai y Muhstik. Los operadores detrás de estas dos botnets buscan comprometer dispositivos IoT y servidores y sumarlos a su red de equipos bajo su control para distribuir malware para minar criptomonedas y llevar adelante ataques de DDoS.
Asimismo, si bien hasta este momento no se ha detectado la explotación de esta vulnerabilidad para distribuir ransomware, no sería de extrañarse que esto suceda.
Dada la severidad de la vulnerabilidad y su impacto, se urge instalar lo antes posible la última versión de Log4j para mitigar esta vulnerabilidad o hacer los ajustes correspondientes en la configuración.
Desde ESET publicamos el siguiente artículo sobre Log4Shell que incluye pasos para la mitigación, cómo detectar la presencia de Log4j en Linux y Windows y cómo detectar también los intentos de explotación de esta vulnerabilidad.
Te invitamos a escuchar el podcast Conexión Segura, donde Cecilia Pastorino cuenta qué es Log4Shell, su impacto y por qué está teniendo gran repercusión: