Zeroday en la omnipresente herramienta Log4j representa una seria amenaza para Internet
imágenes falsas
Se ha lanzado un código de explotación para una vulnerabilidad de ejecución de código grave en Log4j, una utilidad de registro de código abierto utilizada en innumerables aplicaciones, incluidas las utilizadas por las grandes organizaciones comerciales y también en las versiones Java de Minecraft, informaron varios sitios web el jueves pasado.
La vulnerabilidad se descubrió por primera vez en sitios web destinados a usuarios de Minecraft, el juego más vendido de todos los tiempos. Los sitios web advirtieron que los piratas informáticos podrían ejecutar código malicioso en los servidores o clientes de Minecraft al manipular los mensajes de registro, incluidas las cosas escritas en los mensajes de chat. La situación empeoró cuando Log4j fue identificado como la fuente de la vulnerabilidad y el código de explotación se publicó en línea.
Una gran cosa
«El sitio de Minecraft parece una tormenta perfecta, pero sospecho que las aplicaciones y dispositivos afectados serán identificados durante mucho tiempo», dijo HD Moore, fundador y director de tecnología de la plataforma de descubrimiento de redes Rumble. «Este es un gran problema para los entornos vinculados a tiempos de ejecución de Java más antiguos: interfaces web para varias aplicaciones de red, entornos de aplicaciones más antiguos que usan API heredadas y servidores de Minecraft, ya que dependen de versiones anteriores para la compatibilidad de mod».
Ya hay servidores de informes en ejecución Escaneos en Internet al intentar localizar servidores vulnerables.
@GreyNoise actualmente ve 2 direcciones IP únicas que buscan en Internet la nueva vulnerabilidad RCE de Apache Log4j (aún no se ha asignado un CVE).
Un día para rastrear esta actividad en https://t.co/QckU3An40q estará disponible en breve y se vinculará en respuesta cuando se publique.– remy🐀 (@_mattata) 10 de diciembre de 2021
Log4j está integrado con una variedad de marcos populares, incluidos Apache Struts2, Apache Solr, Apache Druid y Apache Flink. Esto significa que una asombrosa cantidad de aplicaciones de terceros también pueden ser vulnerables a exploits que son tan graves como los que amenazan a los usuarios de Minecraft.
No se sabía mucho sobre la vulnerabilidad cuando se publicó esta publicación. Una de las pocas fuentes tempranas que proporcionó un número de seguimiento para la vulnerabilidad fue Github, que dijo que era CVE-2021-44228. La firma de seguridad Cyber Kendra informó el jueves por la noche que un Log4j RCE Zero Day había sido descontinuado en Internet, y estuvo de acuerdo con Moore en que «muchos sistemas populares en el mercado están actualmente afectados».
La Fundación Apache aún no ha revelado la vulnerabilidad, aunque esta página reconoce la eliminación reciente de una vulnerabilidad crítica. Moore y otros investigadores dijeron que la falla de deserialización de Java se debió a que Log4j envió solicitudes de red a un servidor LDAP a través del JNDI y ejecutó el código devuelto. El error se activa dentro de los mensajes de registro con la sintaxis $ {}.
Otros informes de la empresa de seguridad LunaSec afirman que las versiones de Java superiores a 6u211, 7u201, 8u191 y 11.0.1 no se ven afectadas por este vector de ataque. En estas versiones, el JNDI no puede cargar una base de código remota con LDAP.
LunaSec agregó que los servicios en la nube de Steam y Apple iCloud también se ven afectados. Los investigadores de la compañía también señalaron que otra vulnerabilidad de alto grado en la búsqueda del Compromiso de Equifax en 2017 resultó en la filtración de detalles sensibles a más de 143 millones de consumidores estadounidenses.
Cyber Kendra dijo que en noviembre el equipo de seguridad de Alibaba Cloud descubrió una vulnerabilidad en Log4j2, el sucesor de Log4j, que se deriva de análisis recursivos y que los atacantes podrían explotar creando solicitudes maliciosas que desencadenan la ejecución remota de código. La compañía instó a las personas a usar la última versión de Log4j2 que está disponible aquí.
Lo que significa para Minecraft
El foro de Spigot Gaming dijo que las versiones 1.8.8 de Minecraft hasta la última versión 1.18 son vulnerables, al igual que otros servidores de juegos populares como Wynncraft. Mientras tanto, el servidor de juegos y el sitio de noticias Hypixel instaron a los jugadores de Minecraft a tener mucho cuidado.
“El problema puede permitirse Acceda a su computadora de forma remota a través de los servidores en los que inicia sesión“, Escribieron representantes del sitio. «Eso significa que cualquier servidor público al que acceda corre el riesgo de ser pirateado».
Reproducir exploits para esta vulnerabilidad en Minecraft no es fácil, ya que el éxito depende no solo de la versión de Minecraft que esté ejecutando, sino también de la versión del marco de Java en el que se ejecuta la aplicación Minecraft. Parece que las versiones anteriores de Java tienen menos protecciones integradas que facilitan las vulnerabilidades.
Spigot y otras fuentes han dicho que agregaron la bandera JVM -Dlog4j2.formatMsgNoLookups=true neutraliza la amenaza para la mayoría de las versiones de Java. Spigot y muchos otros servicios ya han incluido la bandera en los juegos que ponen a disposición de los usuarios.
Para agregar la bandera, los usuarios deben ir a su lanzador, abrir la pestaña Instalaciones, seleccionar la instalación utilizada, luego hacer clic y pegar «…»> «Editar»> «MÁS OPCIONES» -Dlog4j2.formatMsgNoLookups=true al final de las banderas JVM.
Por ahora, las personas deben prestar mucha atención a esta vulnerabilidad y su potencial para desencadenar ataques con un gran impacto contra una variedad de aplicaciones y servicios. Para los usuarios de Minecraft, esto significa mantenerse alejado de servidores desconocidos o usuarios no confiables. Para los usuarios de software de código abierto, esto significa verificar si confían en Log4j o Log4j2 para el registro. Esta es una historia revolucionaria. Las actualizaciones seguirán a medida que haya más información disponible.
