Centro Nacional de Respuesta a Incidentes de Seguridad Informática

Además, se publicaron las vulnerabilidades CVE 2021-4104 y CVE 2021-45046, la primera del tipo RCE para aquellas que implementen JMSAppender  y JMSBroker,  y la segunda, de ser explotada, puede generar una denegación de servicios (DoS).

Estas vulnerabilidades afectan a múltiples sistemas como VMware Horizon, Apache Tomcat, Atlassian Confluence, Red Hat OpenShift, entre otros.

CVE-2021-44228

La vulnerabilidad de tipo RCE ocurre debido a que la función “log4j2.formatMsgNoLookups” existente en la librería JNDI de Java, no realiza un correcto control del valor cargado. Quien ataca puede enviar una petición especialmente diseñada para lograr que el servidor afectado descargue y almacene una clase Java maliciosa, la cual le permite ejecutar código arbitrario sobre el servidor afectado.

CVE-2021-4104

La vulnerabilidad de tipo RCE solo afecta a las aplicaciones que están configuradas específicamente para usar JMSAppender, que no es el predeterminado, o cuando quien ataca tiene acceso de escritura a la configuración de Log4j para agregar JMSAppender al JMS Broker del atacante.

Quien ataca puede enviar una petición especialmente diseñada para lograr que el servidor afectado descargue y almacene una clase Java maliciosa, la cual le permite ejecutar código arbitrario sobre el servidor afectado.

Si la configuración de Log4j se establece en configuraciones TopicBindingName o TopicConnectionFactoryBindingName que permiten a JMSAppender realizar solicitudes JNDI que dan como resultado la ejecución remota de código.

CVE-2021-45046

Abusando de la vulnerabilidad CVE 2021-44228 quien ataca podría inyectar código en el modulo Thread Context Map (CTX) generando un DoS.

CVE-2021-45105

Es una vulnerabilidad de severidad alta y abusa de un vector de ataque similar a la CVE 2021-44228. Este error también afecta las búsquedas controladas por el atacante en los datos registrados. Sin embargo, en este caso, se puede afectar de las búsquedas que no sean JNDI. y que podría permitir a quien ataca inyectar código en el modulo Thread Context Map (CTX) generando un DoS.

CVE-2021-44832

La vulnerabilidad de tipo RCE requiere contar con los privilegios necesarios para acceder y modificar la configuración de Log4J. Dichos privilegios podrían crear un archivo de configuración y, utilizando la función Appender, definir un elemento DataSource para almacenar una petición JDNI especialmente diseñada. La función Appender, responsable de recibir y procesar las trazas de auditoría, interpreta la petición JNDI maliciosa, permitiéndole a quien ataca descargar una clase Java, la cual es interpretada y deriva en la ejecución de código arbitrario en el servidor afectado.

Métricas CVSS

Mitigaciones

Para las versiones 2.0 a la 2.7.0

En caso de no utilizar la clase JndiLookup, es posible eliminar la misma para mitigar el riesgo:

$ zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Mas información en Apache Logging

Para la version 2.12.x sobre Java 7

Es posible actualizar a la versión 2.12.4 sin necesidad de actualizar el kit SDK de Java 7 desde este repositorio de Apache.

Para las versiones 1.x

Eliminar la clase JMSAppender de la ruta de clases. Por ejemplo: zip -q -d log4j - *. jar org / apache / log4j / net / JMSAppender.class

Restringir el acceso del usuario del sistema operativo en la plataforma que ejecuta la aplicación para evitar que el atacante modifique la configuración de Log4j.

En el caso de la CVE-2021-45105 y CVE-2021-44832 las versiones 1.x no se ven afectadas.

Para todas las versiones se recomienda actualizar Log4J a la versión 2.17.1, versión 2.12.4 para Java 7 o la versión 2.3.2 para Java 6.

Es importante aclarar y tener en cuenta que  las versiones 1.x están en su ciclo final de vida.

Apache Log4j 2.12.4

Apache Log4j 2.17.1

Apache Log4j 2.16.0

Apache Log4J 2.12.1

Apache Log4j 2.17.0

CloudFlare Advisory

Red Hat CVE-2021-44228

Blog de Cisco Talos

Red Hat CVE-2021-4104

Red Hat CVE-2021-45046