CVE-2021-44228: Vulnerabilidad de día cero en Apache Log4j que permite la ejecución de código remoto (RCE)
Se ha informado de una vulnerabilidad crítica de ejecución de código remoto (RCE) no autenticada (CVE-2021-44228) en Log4j, una biblioteca de registro de código abierto. Akamai ha estado trabajando directamente con los clientes para implantar reglas de firewall de aplicaciones web (WAF) durante las últimas 24 horas con el fin de mitigar la exposición. Log4j está integrada en muchos marcos conocidos, lo que hace que el impacto sea generalizado. Se está intentando activamente aprovechar esta vulnerabilidad y, cuando se consigue, el atacante puede ejecutar código arbitrario en sistemas con aplicaciones que incluyen la biblioteca.
La vulnerabilidad afecta a varias versiones de Log4j y a las aplicaciones que dependen de ella (entra las que se incluyen Apache Struts2, Apache Solr, Apache Druid o Apache Flink). Se recomienda a los administradores y desarrolladores de aplicaciones que verifiquen cuáles son las aplicaciones que utiliza el paquete Log4j y, si la versión del paquete se encuentra entre las versiones vulnerables (versiones 2.0 a 2.14.1 de Log4j), que actualicen inmediatamente a la versión 2.16.0 o posterior lo antes posible. La versión más reciente ya está disponible en la página de descarga de Log4j.
Akamai ha implantado una actualización para nuestra regla Apache actual que incluye mitigación de esta CVE de día cero. Se incluye la actualización de la regla 3000014 de Kona Rule Set o del motor de seguridad adaptable de Akamai (para los clientes que utilizan el motor de grupo de ataques automatizados, hemos actualizado el grupo de inyección de comandos). Estos son los motores que se utilizan en Kona Site Defender, Web Application Protector y App & API Protector de Akamai. Los clientes que actualmente tengan activadas esas reglas (o grupos de ataque) en el modo DENEGACIÓN, recibirán protección automática en línea para los siguientes motores de protección y versiones:
Kona Rule Set (KRS): Todas las versiones del 29 de octubre de 2019 o posteriores
Grupos de ataques automatizados (AAG): Todas las versiones
Motor de seguridad adaptable (ASE): Todas las versiones
Es posible que los servidores que alojan aplicaciones orientadas a Internet ya se hayan visto afectados. En muchos sistemas, con el siguiente comando se pueden ver los intentos de ataque para así identificar indicadores de riesgo:
sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns)://' /var/log
Recomendamos que todos los usuarios de Log4j (versiones de 2.0 a 2.14.1) actualicen lo antes posible. Si no pueden actualizar la versión, los equipos potencialmente vulnerables deben limitar el acceso saliente tanto como sea posible. Se pueden utilizar varios protocolos de salida para atacar sistemas vulnerables, por lo que es posible que el bloqueo de hosts o puertos de salida específicos no sea suficiente.
Los clientes de Akamai con Guardicore Centra, ahora parte del conjunto de seguridad de Akamai, pueden aprovechar la visibilidad de los procesos que ofrece Centra para identificar todas las aplicaciones basadas en Java de su red que puedan estar en riesgo. Después, los clientes pueden asignar su exposición y evaluar su nivel de riesgo (por ejemplo, servicios de Internet, servicios de infraestructura expuestos a todo el centro de datos, aplicaciones locales que prestan servicio a usuarios y equipos limitados), y aplicar reglas de segmentación de reducción de riesgos de respuesta rápida hasta que se pueda implantar un parche.
