jueves, 16 de diciembre de 2021

Detalles de CVE-2021-44228 y CVE-2021-45046, las dos nuevas vulnerabilidades de Log4j que afectan a millones de dispositivos

El pasado 10 de diciembre se anunció la detección de una vulnerabilidad crítica en la utilidad Log4j, desarrollada por Apache Software Foundation y cuya explotación ha generado problemas para miles de implementaciones en línea.

Identificada como CVE-2021-44228 y bautizada como Log4Shell, esta falla permitiría a los actores de amenazas enviar un fragmento de código malicioso que se registre en Log4j v2.0 y anteriores, lo que permitiría el acceso total al sistema afectado y la capacidad de ejecutar código de forma remota.

Mientras que los administradores de implementaciones en línea y desarrolladores de software siguen lidiando con esta falla, especialistas en ciberseguridad reportan la detección de dos nuevas vulnerabilidades asociadas con esta utilidad y que podrían poner en riesgo millones de implementaciones en todo el mundo.

Parches incompletos

Según un reporte de Cyber Kendra, este martes se confirmó el hallazgo de CVE-2021-45046, un error derivado de la implementación incorrecta de un parche para abordar la falla anterior, específicamente en la corrección de errores en ciertas configuraciones no predeterminadas.

En más detalles, los investigadores mencionan que la mitigación de la falla anterior requería actualizar a la más reciente versión disponible de Log4j (v2.15); no obstante, esta actualización aún dejaba miles de sistemas vulnerables a ataques de ejecución remota de código (RCE) si solo se habilitaba la marca noMsgFormatLookups o si se configuraba %m{nolookups} al establecer datos en ThreadContext con datos controlados por los atacantes.

Los actores de amenazas con control sobre los datos de entrada del mapa de contexto de subprocesos (MDC) cuando la configuración de registro utiliza un diseño de patrón no predeterminado con una búsqueda de contexto o un patrón de mapa de contexto de subprocesos podrían crear datos de entrada maliciosos utilizando un patrón de búsqueda JNDI, resultando en una condición de denegación de servicio (DoS).

La corrección completa de esta falla requiere actualizar Log4j a v2.16.0.

Una tercera falla aparece

Por otra parte, esta semana los investigadores de la firma de seguridad Praetorian revelaron la detección de una tercera vulnerabilidad en Log4j v2.15.0 cuya explotación permitiría a los actores de amenazas extraer datos confidenciales en circunstancias determinadas.

Los investigadores no compartieron grandes detalles técnicos sobre la falla, pero aseguran que sus hallazgos ya han sido presentados a Apache Foundation, por lo que recomiendan a los usuarios de implementaciones afectadas actualizar a v2.16.0 cuanto antes, aunque no se sabe con certeza si esta versión es inmune a la explotación de esta nueva vulnerabilidad, que no ha recibido clave de identificación CVE.

Esta semana, CloudFlare y Microsoft detectaron a múltiples actores de amenazas explotando las fallas Log4Shell con diversos fines, aunque una de las campañas de hacking que más llamó la atención de la comunidad de la ciberseguridad fue detectada por Bitdefender, cuyos investigadores descubrieron que un grupo de hacking estaba explotando esta falla para infectar los sistemas afectados con el ransomware Khonsari.

Desde la aparición de estas peligrosas fallas, los investigadores han estado tratando de encontrar los mejores métodos de mitigación posibles, además de que los desarrolladores de Log4j han estado en comunicación constante con los usuarios a fin de que se mantengan al tanto de cualquier nuevo riesgo de seguridad relacionado con Log4Shell.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Detalles de CVE-2021-44228 y CVE-2021-45046, las dos nuevas vulnerabilidades de Log4j que afectan a millones de dispositivos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

No hay comentarios.:

Publicar un comentario