CVE-2021-44228 – Estado y aviso sobre la vulnerabilidad de Log4j
Fondo
Una vulnerabilidad crítica de ejecución remota de código en la popular biblioteca Apache Foundation Log4j continúa siendo explotada en Internet, ya que las organizaciones se esfuerzan por parchear este problema. Esta vulnerabilidad, rastreada como CVE-2021-44228,
recibió una puntuación de gravedad CVSS de un máximo de 10,0. Apache Foundation Log4j es una biblioteca de registro diseñada para reemplazar el paquete log4j integrado. A menudo se usa en proyectos populares de Java, como Apache Struts 2 y Apache Solr. Igualmente,
esta biblioteca también puede ser utilizada como dependencia por una variedad de aplicaciones web que se encuentran en entornos empresariales, incluido Elastic. Debido a la naturaleza de esta vulnerabilidad, las organizaciones deben identificar y parchear los productos afectados.
e implementar soluciones de mitigación lo antes posible.
Pasos de acción de la Black Box
Black Box ha tomado numerosas medidas para mitigar la vulnerabilidad Log4j en varios niveles y está monitoreando continuamente la situación.
- Black Box ha actualizado su seguridad de punto final y sus plataformas de seguridad de puerta de enlace DNS/Secure Internet con todas las IP y URL enumeradas, etc., como se menciona en los IOC. Esto protege cualquier ataque basado en Internet específico de log4j que venga.
a través de la ruta de internet.
- Black Box se asegura de que todos los hosts web orientados a Internet (incluidos los involucrados en proyectos futuros se actualicen a las últimas versiones de los componentes de Java según corresponda para la protección).
- Black Box está monitoreando continuamente la lista de proveedores publicados públicamente (GitHub, enlace proporcionado a continuación) que se ven potencialmente afectados por la vulnerabilidad de Log4j y validando con esos proveedores la disponibilidad de parches en casos
donde se puede usar. Muchos de estos proveedores ya han parcheado sus plataformas y componentes de software.
- Black Box no ha identificado ningún compromiso hasta el momento. Está evaluando continua y activamente sus registros y monitoreando la situación.
Asesoramiento al cliente
Debido a la gravedad de esta vulnerabilidad, Recomendamos enfáticamente que los clientes sigan los puntos de orientación clave a continuación:
- Los clientes deben actualizar sus sistemas y plataformas de seguridad con el IOC de Log4j y monitorear cualquier intrusión.
- Los clientes deben identificar los dispositivos conectados a Internet que ejecutan Log4j y actualizarlos a la versión 2.17.1, o aplicar los parches proporcionados por los proveedores "inmediatamente".
- El cliente debe enumerar todos los dispositivos externos con Log4j instalado y asegurarse de que el centro de operaciones de seguridad active todas las alertas relacionadas con Log4j. Instalación de un firewall de aplicaciones web (WAF) con reglas para centrarse en Log4j
también ayuda a identificar y prevenir ataques.
- Los clientes deben identificar el software que alberga la vulnerabilidad Log4j que utilizan internamente. Una vez identificados, deben actualizar los componentes relevantes o seguir las recomendaciones de los proveedores para erradicar la vulnerabilidad log4j.
Para identificar cualquier software y versiones que sean vulnerables a log4j, consulte el siguiente enlace:
https://github.com/NCSC-NL/log4shell/tree/main/software - Para obtener las últimas actualizaciones y orientación sobre la situación, siga la página de orientación sobre la vulnerabilidad CISA Apache log4j:
Guía de vulnerabilidades de Apache Log4j | CISA - Considere informar los compromisos inmediatamente al FBI o tu
Autoridad local según corresponda en el país.
