Investigadores de ESET, advierten sobre una vulnerabilidad crítica en una librería de Apache llamada Log4j que está siendo utilizada por cibercriminales a nivel mundial para distribuir malware. Log4j es una librería de registro de logs basada en Java que es ampliamente utilizada por muchos productos, servicios y componentes de Java.
Se trata de una vulnerabilidad de ejecución remota de código (RCE, por sus siglas en inglés) descubierta por el equipo de Alibaba Cloud en noviembre y que fue parcheada en diciembre con una actualización de Log4j. Sin embargo, el viernes pasado se publicó un exploit para Log4Shell que permite a un atacante ejecutar el código de su elección en un servidor afectado. Si el adversario obtiene acceso a la red local, incluso si los sistemas internos no están expuestos a Internet, la misma puede ser explotada. En última instancia, una vulnerabilidad de RCE significa que un atacante no necesita tener acceso físico para ejecutar código arbitrario que podría conducir a un control completo sobre los sistemas afectados y al robo de datos confidenciales. Esto incluye tanto servidores Linux como Windows.
Según los expertos, la vulnerabilidad es de fácil explotación y tiene impacto en la configuración por defecto de varios frameworks de Apache. Actores maliciosos ya comenzaron a escanear la red en busca de servidores vulnerables para explotar el fallo (o utilizarlos en futuros ataques) y realizar acciones maliciosas como instalar malware, exfiltrar datos o tomar el control del servidor. Se debe aclarar que, con el lanzamiento de la última actualización, esta función ya no está habilitada por defecto.
Qué es Log4Shell
Indexada como CVE-2021-44228, el fallo consiste en una vulnerabilidad de ejecución remota de código (RCE, por sus siglas en inglés) que permite a un atacante ejecutar el código de su elección en un servidor afectado. Si el adversario de alguna manera obtiene acceso a la red local, incluso si los sistemas internos no están expuestos a Internet, la misma puede ser explotada. En última instancia, una vulnerabilidad de RCE significa que un atacante no necesita tener acceso físico para ejecutar código arbitrario que podría conducir a un control completo sobre los sistemas afectados y al robo de datos confidenciales.
¿Cómo detectar y mitigar Log4Shell?
ESET publicó un artículo en el que detallan una serie de pasos para poder detectar la presencia de Log4j en windows y Linux. También puedes seguir los comandos que publicaron en su github.