{"id":1611,"date":"2021-12-15T09:10:01","date_gmt":"2021-12-15T08:10:01","guid":{"rendered":"https:\/\/blogs.ugr.es\/seguridadinformatica\/?p=1611"},"modified":"2021-12-15T09:38:18","modified_gmt":"2021-12-15T08:38:18","slug":"vulnerabilidad-en-apache-log4j-2","status":"publish","type":"post","link":"https:\/\/blogs.ugr.es\/seguridadinformatica\/vulnerabilidad-en-apache-log4j-2\/","title":{"rendered":"ALERTA: Vulnerabilidad en Apache Log4j 2"},"content":{"rendered":"<p>ALERTA: <a href=\"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-content\/uploads\/sites\/47\/2018\/05\/newlogo.png\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-487 alignleft\" src=\"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-content\/uploads\/sites\/47\/2018\/05\/newlogo.png\" alt=\"\" width=\"179\" height=\"133\" \/><\/a>Desde el CCN nos avisan de esta vulnerabilidad y nos piden que hagamos todo lo posible por revisar nuestros servidores web Apache donde se\u00a0 utilice herramientas Java. Literalmente nos dicen desde el CCN:\u00bb Nos consta que esta vulnerabilidad <strong>esta operativa en el arsenal de m\u00e1s de 12 grupos de ataque<\/strong> <strong>y nos consta que esta siendo explotada desde, al menos, el 1 de diciembre.<\/strong>\u00bb<\/p>\n<p>Por lo que es interesante revisarlo.<\/p>\n<p>Os dejo contenido el mensaje de la alerta:<\/p>\n<table border=\"0\" width=\"100%\" cellspacing=\"0\" cellpadding=\"0\">\n<tbody>\n<tr>\n<td width=\"20\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.ccn-cert.cni.es\/images\/Avisos\/blank.gif\" alt=\"\" width=\"1\" height=\"1\" \/><\/td>\n<td>\n<table border=\"0\" width=\"100%\" cellspacing=\"0\" cellpadding=\"0\">\n<tbody>\n<tr>\n<td>\n<table class=\"max-width600\" border=\"0\" cellspacing=\"0\" cellpadding=\"0\">\n<tbody>\n<tr>\n<td>\n<table border=\"0\" width=\"100%\" cellspacing=\"0\" cellpadding=\"0\">\n<tbody>\n<tr>\n<td class=\"hidden\" width=\"10\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.ccn-cert.cni.es\/images\/Avisos\/blank.gif\" alt=\"\" width=\"1\" height=\"1\" \/><\/td>\n<td>\n<table border=\"0\" width=\"100%\" cellspacing=\"0\" cellpadding=\"0\">\n<tbody>\n<tr>\n<td><strong>Actualizaci\u00f3n vulnerabilidad en Apache Log4j 2<\/strong><\/td>\n<\/tr>\n<tr>\n<td height=\"17\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.ccn-cert.cni.es\/images\/Avisos\/blank.gif\" alt=\"\" width=\"1\" height=\"1\" \/><\/td>\n<\/tr>\n<tr>\n<td>Fecha de publicaci\u00f3n:\u00a0<strong>14\/12\/2021<\/strong><br \/>\nNivel de peligrosidad:\u00a0<b>CR\u00cdTICO<\/b>El Equipo de Respuesta a Incidentes del Centro Criptol\u00f3gico Nacional,\u00a0<strong>CCN-CERT,\u00a0<\/strong>informa sobre la publicaci\u00f3n de actualizaciones de la vulnerabilidad que afecta a Apache Log4j 2.<\/p>\n<p>Como se\u00a0<a href=\"https:\/\/www.ccn-cert.cni.es\/seguridad-al-dia\/alertas-ccn-cert\/11435-ccn-cert-al-09-21-vulnerabilidad-en-apache-log4j-2.html\">alert\u00f3<\/a>\u00a0el pasado viernes, 10 de diciembre, se ha hecho\u00a0<a href=\"https:\/\/access.redhat.com\/security\/cve\/cve-2021-44228\">p\u00fablica<\/a>\u00a0una vulnerabilidad que afecta a la librer\u00eda de registro de Java\u00a0<a href=\"https:\/\/logging.apache.org\/log4j\/2.x\/\">Apache Log4j 2<\/a>, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registro, cuyo prop\u00f3sito es dejar constancia de una determinada transacci\u00f3n en tiempo de ejecuci\u00f3n, adem\u00e1s, Log4j permite filtrar los mensajes en funci\u00f3n de su importancia.<\/p>\n<p><strong>Nuevas recomendaciones:<\/strong><\/p>\n<ul>\n<li>Revisar si se est\u00e1 usando log4j\n<ul>\n<li>PowerShell\n<ul>\n<li><a href=\"https:\/\/github.com\/crypt0jan\/log4j-powershell-checker\">https:\/\/github.com\/crypt0jan\/log4j-powershell-checker<\/a><\/li>\n<li>gci &#8216;C:\\&#8217; -rec -force -include *.jar -ea 0 | foreach {select-string \u00abJndiLookup.class\u00bb $_} | select -exp Path<\/li>\n<\/ul>\n<\/li>\n<li>Linux\n<ul>\n<li>find \/ 2&gt;\/dev\/null -regex \u00ab.*.jar\u00bb -type f | xargs -I{} grep JndiLookup.class \u00ab{}\u00bb<\/li>\n<\/ul>\n<\/li>\n<li>Revisar ficheros de configuraci\u00f3n buscando log4j2.formatMsgNoLookups\u00a0y la variable de entorno\u00a0LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar a\u00a0<strong>True<\/strong>.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>Revisar aplicaciones de Java\n<ul>\n<li><a href=\"https:\/\/github.com\/logpresso\/CVE-2021-44228-Scanner\">https:\/\/github.com\/logpresso\/CVE-2021-44228-Scanner<\/a> (Observaci\u00f3n: realiza la mitigaci\u00f3n de forma autom\u00e1tica)<\/li>\n<li><a href=\"https:\/\/github.com\/hillu\/local-log4j-vuln-scanner?idU=1\">https:\/\/github.com\/hillu\/local-log4j-vuln-scanner<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/mergebase\/log4j-detector\">https:\/\/github.com\/mergebase\/log4j-detector<\/a><\/li>\n<\/ul>\n<\/li>\n<li>JAR file hashes\n<ul>\n<li><a href=\"https:\/\/github.com\/mubix\/CVE-2021-44228-Log4Shell-Hashes\">https:\/\/github.com\/mubix\/CVE-2021-44228-Log4Shell-Hashes<\/a><\/li>\n<\/ul>\n<\/li>\n<li>Class file hashes (2.15.0 no es vulnerable, pero est\u00e1 incluida)\n<ul>\n<li><a href=\"https:\/\/gist.github.com\/olliencc\/8be866ae94b6bee107e3755fd1e9bf0d\">https:\/\/gist.github.com\/olliencc\/8be866ae94b6bee107e3755fd1e9bf0d<\/a><\/li>\n<\/ul>\n<\/li>\n<li>JAR and Class hashes\n<ul>\n<li><a href=\"https:\/\/github.com\/nccgroup\/Cyber-Defence\/tree\/master\/Intelligence\/CVE-2021-44228\">https:\/\/github.com\/nccgroup\/Cyber-Defence\/tree\/master\/Intelligence\/CVE-2021-44228<\/a><\/li>\n<\/ul>\n<\/li>\n<li>Escaneo de vulnerabilidad en Go\n<ul>\n<li><a href=\"https:\/\/github.com\/hillu\/local-log4j-vuln-scanner\">https:\/\/github.com\/hillu\/local-log4j-vuln-scanner<\/a><\/li>\n<\/ul>\n<\/li>\n<li>Conjunto de reglas YARA para la detecci\u00f3n de versiones de log4j vulnerables a CVE-2021-44228 by looking for the signature of JndiManager prior to 2.15.0.\n<ul>\n<li><a href=\"https:\/\/github.com\/darkarnium\/CVE-2021-44228\">https:\/\/github.com\/darkarnium\/CVE-2021-44228<\/a><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<ul>\n<li>Revisar si se ha tenido un aumento de conexiones DNS.\n<ul>\n<li>Los intentos durante el fin de semana se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS durante el pasado fin de semana puede ser indicativo de explotaci\u00f3n exitosa<\/li>\n<\/ul>\n<\/li>\n<li>Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librer\u00eda log4j\n<ul>\n<li>Revisar si tiene uno de los siguientes aplicativos:<br \/>\n<a href=\"https:\/\/gist.github.com\/SwitHak\/b66db3a06c2955a9cb71a8718970c592\">https:\/\/gist.github.com\/SwitHak\/b66db3a06c2955a9cb71a8718970c592<\/a><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<ul>\n<li>Revisar en logs los siguientes IOC:<br \/>\n<a href=\"https:\/\/gist.github.com\/gnremy\/c546c7911d5f876f263309d7161a7217\">https:\/\/gist.github.com\/gnremy\/c546c7911d5f876f263309d7161a7217<\/a><br \/>\nEn caso de sospechas revisar los logs de las aplicaciones para buscar \u201cjndi\u201d, se pueden apoyar en los siguientes scripts:<br \/>\n<a href=\"https:\/\/github.com\/Neo23x0\/log4shell-detector\/\">https:\/\/github.com\/Neo23x0\/log4shell-detector\/<\/a><\/li>\n<li>Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.<\/li>\n<li>Actualizar a la versi\u00f3n versi\u00f3n de Log4j, se ha publicado la versi\u00f3n 2.16 <a href=\"https:\/\/github.com\/apache\/logging-log4j2\/blob\/cffe58f6a433ea1ab60ceb129d4c9b3377acda1d\/RELEASE-NOTES.md\">https:\/\/github.com\/apache\/logging-log4j2\/blob\/cffe58f6a433ea1ab60ceb129d4c9b3377acda1d\/RELEASE-NOTES.md<\/a><\/li>\n<li>La vulnerabilidad tambi\u00e9n se puede mitigar en versiones anteriores (s\u00f3lo versi\u00f3n 2.10 y posteriores) estableciendo la propiedad del sistema\u00a0<em>\u00ablog4j2.formatMsgNoLookups\u00bb<\/em>\u00a0en\u00a0<em>\u00abtrue\u00bb<\/em>\u00a0o eliminando la clase\u00a0<em>JndiLookup<\/em>\u00a0del\u00a0<em>classpath<\/em>.<\/li>\n<li>En caso de no poder aplicar las medidas anteriores Deshabilitar JNDI si no se est\u00e1 usando<\/li>\n<li>En caso de no poder aplicar las medidas anteriores eliminar las clases JndiLookup y JndiManager de la biblioteca\u00a0 log4j-core jar. La eliminaci\u00f3n de\u00a0 JndiManager causara que no funcione JndiContextSelector y\u00a0 JMSAppender.<\/li>\n<\/ul>\n<p>En caso de haber detectado la explotaci\u00f3n de esta vulnerabilidad puede informar de ello en la siguiente direcci\u00f3n de correo electr\u00f3nico:\u00a0<a href=\"&#x6d;a&#x69;&#108;&#x74;&#111;:&#x69;n&#x63;&#105;&#x64;&#101;n&#x74;&#101;&#x73;&#64;c&#x63;n&#x2d;&#99;&#x65;&#114;t&#x2e;c&#x6e;&#105;&#x2e;&#x65;s\">&#105;&#x6e;&#x63;i&#100;&#x65;n&#116;&#x65;&#x73;&#64;&#x63;&#x63;n&#45;&#x63;e&#114;&#x74;&#x2e;&#99;&#x6e;&#x69;&#46;&#101;&#x73;<\/a><\/p>\n<p><strong>Posibles vectores de entrada<\/strong><\/p>\n<p>La vulnerabilidad puede ser explotada f\u00e1cilmente en m\u00faltiples aplicaciones y servidores, una recopilaci\u00f3n de aplicaciones comerciales afectadas es la siguiente <a href=\"https:\/\/github.com\/NCSC-NL\/log4shell\/blob\/main\/software\/README.md?idU=1\">https:\/\/github.com\/NCSC-NL\/log4shell\/blob\/main\/software\/README.md<\/a><\/p>\n<p>El exploit puede ser usado en campos propios de las aplicaciones de cada organismo usando los par\u00e1metros de comunicaciones o los datos de los formularios de la aplicaci\u00f3n.<\/p>\n<p>Se debe prestar especial atenci\u00f3n a los siguientes par\u00e1metros de entrada de las aplicaciones con conexi\u00f3n a Internet:<\/p>\n<ul>\n<li>X-Api-Version<\/li>\n<li>User-Agent<\/li>\n<li>Referer<\/li>\n<li>X-Druid-Comment<\/li>\n<li>Origin<\/li>\n<li>Location<\/li>\n<li>X-Forwarded-For<\/li>\n<li>Cookie<\/li>\n<li>X-Requested-With<\/li>\n<li>X-Forwarded-Host<\/li>\n<li>Accept<\/li>\n<\/ul>\n<p><strong>IOC<\/strong><\/p>\n<p>La lista de IOC se est\u00e1 ampliando\u00a0seg\u00fan avanzan las investigaciones. Les sugerimos varios enlaces para actualizar listados de IPs que realizan escaneos activos e intentos de explotaci\u00f3n de la vulnerabilidad:<\/p>\n<ul>\n<li><a href=\"https:\/\/community.riskiq.com\/article\/57abbfcf\/indicators\">https:\/\/community.riskiq.com\/article\/57abbfcf\/indicators<\/a><\/li>\n<li><a href=\"https:\/\/blog.talosintelligence.com\/2021\/12\/apache-log4j-rce-vulnerability.html\">https:\/\/blog.talosintelligence.com\/2021\/12\/apache-log4j-rce-vulnerability.html<\/a><\/li>\n<\/ul>\n<p><strong>Referencias:<\/strong><\/p>\n<ul>\n<li><a href=\"https:\/\/www.reddit.com\/r\/blueteamsec\/comments\/rd38z9\/log4j_0day_being_exploited\">https:\/\/www.reddit.com\/r\/blueteamsec\/comments\/rd38z9\/log4j_0day_being_exploited<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/NCSC-NL\/log4shell\/blob\/main\/software\/README.md\">Sistemas vulnerables y situaci\u00f3n<\/a><\/li>\n<\/ul>\n<p>Atentamente,<\/p>\n<p>Equipo CCN-CERT<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n","protected":false},"excerpt":{"rendered":"<p>ALERTA: Desde el CCN nos avisan de esta vulnerabilidad y nos piden que hagamos todo lo posible por revisar nuestros servidores web Apache donde se\u00a0 utilice herramientas Java. Literalmente nos dicen desde el CCN:\u00bb Nos consta que esta vulnerabilidad esta operativa en el arsenal de m\u00e1s de 12 grupos de ataque y nos consta que [&hellip;]<\/p>\n","protected":false},"author":27,"featured_media":555,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_genesis_hide_title":false,"_genesis_hide_breadcrumbs":false,"_genesis_hide_singular_image":false,"_genesis_hide_footer_widgets":false,"_genesis_custom_body_class":"","_genesis_custom_post_class":"","_genesis_layout":"","footnotes":""},"categories":[47,12],"tags":[29,35,14,26,43],"class_list":{"0":"post-1611","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-alertas","8":"category-noticias","9":"tag-alertas","10":"tag-ccn","11":"tag-noticias","12":"tag-proteccion","13":"tag-web","14":"entry"},"_links":{"self":[{"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/posts\/1611","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/users\/27"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/comments?post=1611"}],"version-history":[{"count":3,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/posts\/1611\/revisions"}],"predecessor-version":[{"id":1614,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/posts\/1611\/revisions\/1614"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/media\/555"}],"wp:attachment":[{"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/media?parent=1611"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/categories?post=1611"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/tags?post=1611"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}