top of page
  • perezrinconclaudia

Claudia Rincón: Vulnerabilidad extremadamente crítica de Log4J pone en riesgo gran parte de Internet


Apache Software Foundation ha publicado soluciones para contener una vulnerabilidad de día cero explotada activamente que afecta a la biblioteca de registro Apache Log4j basada en Java, ampliamente utilizada, que podría utilizarse como arma para ejecutar código malicioso y permitir una toma de control completa de los sistemas vulnerables.


Rastreado como CVE-2021-44228 y por los apodos Log4Shell o LogJam, el problema se refiere a un caso de ejecución de código remoto no autenticado (RCE) en cualquier aplicación que use la utilidad de código abierto y afecte las versiones Log4j 2.0-beta9 hasta 2.14. 1. El error obtuvo una puntuación perfecta de 10 sobre 10 en el sistema de clasificación CVSS, lo que indica la gravedad del problema.


"Un atacante que puede controlar los mensajes de registro o log parámetros del mensaje pueden ejecutar código arbitrario cargado desde LDAP servidores cuando se habilita la sustitución mensaje de búsqueda," la Fundación Apache , dijo en un aviso. "Desde Log4j 2.15.0, este comportamiento se ha desactivado de forma predeterminada".


La explotación se puede lograr mediante una sola cadena de texto, que puede hacer que una aplicación se comunique con un host externo malicioso si se registra a través de la instancia vulnerable de Log4j, lo que le otorga al adversario la capacidad de recuperar una carga útil de un servidor remoto y ejecutarlo localmente. Los encargados del proyecto le dieron crédito a Chen Zhaojun del equipo de seguridad en la nube de Alibaba por haber descubierto el problema.


Log4j se utiliza como un paquete de registro en una variedad de software popular diferente por varios fabricantes , incluidos Amazon, Apple iCloud, Cisco , Cloudflare , ElasticSearch, Red Hat , Steam, Tesla, Twitter y videojuegos como Minecraft . En el caso de este último, los atacantes han podido obtener RCE en los servidores de Minecraft simplemente pegando un mensaje especialmente diseñado en el cuadro de chat.

4 visualizaciones0 comentarios

Comments


bottom of page