La Fundación Apache Software ha lanzado una nueva actualización de la biblioteca de registro Log4j para contener un fallo de ejecución de código arbitrario que podría ser explotada por atacantes.
Esta es la quinta vulnerabilidad descubierta en el transcurso de un mes en esta librería, que recordemos es ampliamente utilizada por aplicaciones y servicios de terceros.
Este bug ha sido clasificado como CVE-2021-44832 con una puntuación de gravedad de 6.6 sobre 10 y afecta a todas las versiones de la librería desde la versión 2.0-alpha7 hasta la 2.17.0 con la excepción de 2.3.2 y 2.12.4.
Las versiones 2.0-beta7 a 2.17.0 de Apache Log4j2 (excluidas las versiones de corrección de seguridad 2.3.2 y 2.12.4), son vulnerables a un ataque de ejecución remota de código (RCE) en el que un atacante con permiso para modificar el archivo de configuración de registro, puede construir una configuración utilizando un Appender JDBC con una fuente de datos que hace referencia a un URI JNDI que puede ejecutar código remoto.
Extracto del anuncio de la Fundación Apache Software
La dificultad de explotación de esta vulnerabilidad es mayor que la del CVE-2021-44228 original, ya que requiere que el atacante tenga control sobre la configuración. A diferencia de Logback, en Log4j hay una función para cargar un archivo de configuración remota o para configurar el registrador a través del código, por lo que se podría lograr una ejecución de código arbitrario con un ataque MitM.
Vulnerabilidades encontradas en Log4j
Con esta última actualización, se han abordado un total de cuatro problemas en Log4j desde que que la vulnerabilidad Log4Shell saliera a la luz a principios de este mes:
- CVE-2021-44228 (puntuación CVSS: 10.0): una vulnerabilidad de ejecución remota de código que afecta a las versiones de Log4j de 2.0-beta9 a 2.14.1 (corregida en la versión 2.15.0).
- CVE-2021-45046 (puntuación CVSS: 9.0): una fuga de información y una vulnerabilidad de ejecución remota de código que afecta a las versiones de Log4j de 2.0-beta9 a 2.15.0, excluyendo 2.12.2 (corregido en la versión 2.16.0).
- CVE-2021-45105 (puntuación CVSS: 7.5): una vulnerabilidad de denegación de servicio que afecta a las versiones de Log4j de 2.0-beta9 a 2.16.0 (corregida en la versión 2.17.0).
- CVE-2021-4104 (puntuación CVSS: 8.1): una falla de deserialización no confiable que afecta a la versión 1.2 de Log4j (no hay solución disponible).
Todas estas vulnerabilidades están afectando gravemente a miles de empresas y aplicaciones por todo el mundo. Los hackers las están aprovechando activamente, tanto en ataques de ransomware como en otro tipo acciones. Como ya hemos recomendado en los artículos enlazados, se deben actualizar todas las aplicaciones que hagan uso de esta librería de registro lo antes posible.