Los problemas de la biblioteca de registro Apache Log4j parece que no acaban nunca. A comienzos de semana salió a la luz una primera vulnerabilidad crítica en denominada Log4jShell que permitía a un atacante ejecutar código malicioso. Días después, se descubrió una segunda vulnerabilidad que la Fundación Apache ya ha corregido con el lanzamiento de la versión 2.16.0.
Cuando todo parecía que se había solucionado, ayer se ha hecho público que hay una tercera vulnerabilidad crítica en la biblioteca que Apache Software acaba de parchear con una nueva actualización.
Esta tercera vulnerabilidad en la librería Log4j ha sido registrada como CVE-2021-45105 con una puntuación en la escala de gravedad de 7.5 sobre 10. Afecta a todas las versiones de Log4j desde la versión 2.0-beta9 hasta la 2.16.0.
Según el comunicado oficial de Apache Software, las versiones 2.x de Log4j no protegen adecuadamente de la recursividad incontrolada de las búsquedas autorreferenciadas.
Por otra parte, la puntuación de gravedad de la vulnerabilidad CVE-2021-45046 que estaba en 3.7 ha sido aumentada a 9.0 para reflejar el hecho de que un atacante podría abusar de esta vulnerabilidad para enviar una cadena maliciosa, que conduciría a una «fuga de información y ejecución remota de código en algunos entornos y ejecución de código local en todos los entornos«, corroborando un informe anterior de investigadores de seguridad de Praetorian.
Las tres vulnerabilidades detectadas son muy importantes y han causado millones de intentos de ataques por todo el mundo. En estos ataques se está intentando infectar con ransomware, malware de minado, bots y shell web principalmente. Destaca la campaña de ataques con Khonsari de la que ya hemos informado hace unos días.
