Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre seguridad informática para el personal de la Universidad de Granada

Inicio >> Archivo de alertas

ALERTA: Vulnerabilidad en Apache Log4j 2

ALERTA: Desde el CCN nos avisan de esta vulnerabilidad y nos piden que hagamos todo lo posible por revisar nuestros servidores web Apache donde se  utilice herramientas Java. Literalmente nos dicen desde el CCN:” Nos consta que esta vulnerabilidad esta operativa en el arsenal de más de 12 grupos de ataque y nos consta que esta siendo explotada desde, al menos, el 1 de diciembre.

Por lo que es interesante revisarlo.

Os dejo contenido el mensaje de la alerta:

Actualización vulnerabilidad en Apache Log4j 2
Fecha de publicación: 14/12/2021
Nivel de peligrosidad: CRÍTICOEl Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa sobre la publicación de actualizaciones de la vulnerabilidad que afecta a Apache Log4j 2.

Como se alertó el pasado viernes, 10 de diciembre, se ha hecho pública una vulnerabilidad que afecta a la librería de registro de Java Apache Log4j 2, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución, además, Log4j permite filtrar los mensajes en función de su importancia.

Nuevas recomendaciones:

  • Revisar si se está usando log4j
    • PowerShell
    • Linux
      • find / 2>/dev/null -regex “.*.jar” -type f | xargs -I{} grep JndiLookup.class “{}”
    • Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar a True.
  • Revisar si se ha tenido un aumento de conexiones DNS.
    • Los intentos durante el fin de semana se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS durante el pasado fin de semana puede ser indicativo de explotación exitosa
  • Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j
  • Revisar en logs los siguientes IOC:
    https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
    En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi”, se pueden apoyar en los siguientes scripts:
    https://github.com/Neo23x0/log4shell-detector/
  • Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.
  • Actualizar a la versión versión de Log4j, se ha publicado la versión 2.16 https://github.com/apache/logging-log4j2/blob/cffe58f6a433ea1ab60ceb129d4c9b3377acda1d/RELEASE-NOTES.md
  • La vulnerabilidad también se puede mitigar en versiones anteriores (sólo versión 2.10 y posteriores) estableciendo la propiedad del sistema “log4j2.formatMsgNoLookups” en “true” o eliminando la clase JndiLookup del classpath.
  • En caso de no poder aplicar las medidas anteriores Deshabilitar JNDI si no se está usando
  • En caso de no poder aplicar las medidas anteriores eliminar las clases JndiLookup y JndiManager de la biblioteca  log4j-core jar. La eliminación de  JndiManager causara que no funcione JndiContextSelector y  JMSAppender.

En caso de haber detectado la explotación de esta vulnerabilidad puede informar de ello en la siguiente dirección de correo electrónico: incidentes@ccn-cert.cni.es

Posibles vectores de entrada

La vulnerabilidad puede ser explotada fácilmente en múltiples aplicaciones y servidores, una recopilación de aplicaciones comerciales afectadas es la siguiente https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

El exploit puede ser usado en campos propios de las aplicaciones de cada organismo usando los parámetros de comunicaciones o los datos de los formularios de la aplicación.

Se debe prestar especial atención a los siguientes parámetros de entrada de las aplicaciones con conexión a Internet:

  • X-Api-Version
  • User-Agent
  • Referer
  • X-Druid-Comment
  • Origin
  • Location
  • X-Forwarded-For
  • Cookie
  • X-Requested-With
  • X-Forwarded-Host
  • Accept

IOC

La lista de IOC se está ampliando según avanzan las investigaciones. Les sugerimos varios enlaces para actualizar listados de IPs que realizan escaneos activos e intentos de explotación de la vulnerabilidad:

Referencias:

Atentamente,

Equipo CCN-CERT

MicroCLAUDIA software antiransomware, instalatelo si tienes windows.

Desde el área de seguridad informática os animamos a que os instaléis software antiransomware suministrado por el Centro Criptologico Nacional. Asi podremos evitar que nos cifren el disco y perdamos datos. Y si ya te lo han cifrado NO PAGUES nunca. Tened las copias de seguridad al día.

En UGR ya hemos instalado bastantes ordenadores y os dejo imagen del centro de control donde como se ve hay ya 1821 ordenadores con microclaudia instalado. Si deseas instalarlo, aspecto que te aconsejo, mira el mensaje que mando el CCN un poco mas abajo despues del gráfico. Y mucho cuidado con las macros de office, como se ve por aqui han intentado entrar varios ‘bichos’

Mensaje enviado desde el CCN para UGR

"Buenos días,
Para poder desplegar microCLAUDIA en su organismo deberá:

1. Descargar el instalador del agente desde el siguiente enlace:

https://loreto.ccn-cert.cni.es/index.php/s/deUzQEBkGjQObDP

2. Seguir las instrucciones incluidas también en dicho enlace

Para poder proceder a la activación de la solución deberá introducir la
siguiente api key:

   LA CLAVE DEBE SOLICITARLA A seguridadinformatica@ugr.es aunque se le envirá un mensaje estos dias con ella.

Hasta lo fecha no se han encontrado incompatibilidades con ningún
antivirus o EDR comercial.
No obstante, si tuviera algún problema, rogamos nos lo indique para ver
cómo solucionarlo.

Comentarle además que dicha api key podrá utilizarse únicamente para la
instalación de microCLAUDIA en los equipos de su organización, estando
prohibida la cesión a terceros.

Para proporcionarle acceso al panel web necesitamos nos indiquen los
datos del responsable de seguridad o de informática de su organismo.

Atentamente,
Equipo CCN-CERT"

Puede revisar la plublicacion que ya hicimos https://blogs.ugr.es/seguridadinformatica/?s=ramsonware

Campaña de smishing suplantando a GLS.

Desde INCIBE nos avisan de campaña de SMS’s fraudulentos simulando ser una empresa de entrega de paquetes. Al final te piden datos bancarios y demas. En fin que a esto no hay que hacerle ni caso. En estos dias, con tanto pedido a traves de internet, hay un aumento de este tipo de estafa haciendose pasar por empresas de transporte o incluso por Correos. Mucho cuidado.

Os dejo el enlace de INCIBE https://www.incibe.es/protege-tu-empresa/avisos-seguridad/campana-smishing-suplantando-gls

Mas informacion de lo que es un SMISHING https://www.incibe.es/aprendeciberseguridad/smishing

Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:

  • No abrir SMS de usuarios desconocidos o que no se haya solicitado: hay que eliminarlos directamente.
  • En caso de que el SMS proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
  • No contestar en ningún caso a estos SMS.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
  • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

Aviso alerta seguridad. Llamadas fraudulentas suplantando Microsoft.

Buenas tardes, se están recibiendo llamadas telefónicas desde el extranjero indicando que son de Microsoft para  que se instalen ciertos programas en su ordenador/móvil.

No hagan caso a dichas llamadas y cuelgue.

Este tipo de ataque se denomina vishing. Para más información:

https://www.incibe.es/aprendeciberseguridad/vishing
https://www.welivesecurity.com/la-es/2021/05/03/que-es-vishing/
https://www.ccn-cert.cni.es/gl/gestion-de-incidentes/lucia/23-noticias/1644-vishing-y-smishing-dos-nuevos-enganos.html