Vulnerabilidad crítica en Apache Log4j (Log4Shell)
La vulnerabilidad crítica que permite la ejecución remota de comandos se encuentra en la librería de registro de Java, Apache Log4j, afectando las versiones anteriores a 2.15.0.
La vulnerabilidad fue catalogada con CVE-2021-44228 y nombrada públicamente como Log4Shell.
Para explotar la vulnerabilidad un atacante envía un request HTTP contra un servidor que genera logs utilizando Log4j 2 y aprovecha JNDI (Java Naming and Directory Interface) para realizar un request al sitio controlado por el atacante donde aloja el código malicioso. Luego, la vulnerabilidad hace que el proceso explotado llegue al sitio malicioso y ejecute la carga útil (payload).
Productos afectados
Muchos dispositivos expuestos hacia internet utilizan esta tecnología y por lo tanto se ven afectadas por esta vulnerabilidad. A continuación se listan algunos productos que según sus fuentes oficiales podrían verse afectados.
En la sección referencias se puede encontrar las publicaciones oficiales y actualizadas.
CISCO
Producto | Cisco Bug ID | Parche disponible |
---|---|---|
Collaboration and Social Media | ||
Cisco Webex Meetings Server | CSCwa47283 | |
Network and Content Security Devices | ||
Cisco Advanced Web Security Reporting Application | CSCwa47278 | |
Cisco Identity Services Engine (ISE) | CSCwa47133 | |
Cisco Registered Envelope Service | CSCwa47192 | |
Network Management and Provisioning | ||
Cisco CloudCenter Suite Admin | CSCwa47349 | |
Cisco Crosswork Change Automation | CSCwa47367 | |
Cisco Evolved Programmable Network Manager | CSCwa47310 | |
Cisco Integrated Management Controller (IMC) Supervisor | CSCwa47307 | |
Cisco Intersight Virtual Appliance | CSCwa47304 | |
Cisco Network Services Orchestrator (NSO) | CSCwa47342 | |
Cisco Nexus Dashboard (formerly Cisco Application Services Engine) | CSCwa47299 | 2.1.2 (7-Jan-2022) |
Cisco WAN Automation Engine (WAE) | CSCwa47369 | |
Routing and Switching – Enterprise and Service Provider | ||
Cisco SD-WAN vManage | CSCwa47745 | |
Unified Computing | ||
Cisco UCS Director | CSCwa47288 | |
Voice and Unified Communications Devices | ||
Cisco BroadCloud | CSCwa47282 | Remediation has been completed. |
Cisco Computer Telephony Integration Object Server (CTIOS) | CSCwa47273 | |
Cisco Enterprise Chat and Email | CSCwa47392 | |
Cisco Packaged Contact Center Enterprise | CSCwa47274 | |
Cisco Unified Contact Center Enterprise – Live Data server | CSCwa46810 | |
Cisco Unified Contact Center Enterprise | CSCwa47273 | |
Cisco Unified Intelligent Contact Management Enterprise | CSCwa47273 | |
Cisco Unified SIP Proxy Software | CSCwa47265 | |
Video, Streaming, TelePresence, and Transcoding Devices | ||
Cisco Video Surveillance Operations Manager | CSCwa47360 | |
Cisco Cloud Hosted Services | ||
Cisco DNA Spaces | CSCwa47320 | |
Cisco Kinetic for Cities | CSCwa47361 | |
Cisco Umbrella | CSCwa47365 | Remediation has been completed. |
Cisco Unified Communications Manager Cloud | CSCwa47036 | |
Cisco Webex Cloud-Connected UC (CCUC) | CSCwa47331 | |
Managed Services Accelerator (MSX) Network Access Control Service | CSCwa47341 | |
CloudLock | Remediation has been completed. | |
Duo | Remediation has been completed. | |
ThousandEyes | Remediation has been completed. | |
Webex Meetings | Remediation has been completed. |
HUAWEI
El Product Security Incident Response Team (PSIRT) de Huawei continúan en proceso de investigación y no han lanzado ningúna advertencia al respecto.
Por otro lado la comunidad de OpenEuler, Sistema Operativo desarrollado por dicha compañía, lanzó la versión openEuler 20.03 LTS SP1 / SP2 que corrige la vulnerabilidad Log4Shel dentro del sistemal.
Juniper
Basado en las investigaciones realizadas por Juniper estos sistemas podrían ser vulnerables:
-
JSA Series
-
Junos Space Management Applications
-
Junos Space Network Management Platform
-
Network Director
-
Secure Analytics
-
Security Director, but not Security Director Insights
Basado en las investigaciones realizadas por Juniper estos sistemas son vulnerables:
Juniper Networks Paragon Active Assurance
-
21 version 21.1 and later versions;
-
22 version 22.2 and later versions.
Juniper Networks Paragon Insights
-
21 version 21.1 and later versions;
-
22 version 22.2 and later versions.
Juniper Networks Paragon Pathfinder
-
21 version 21.1 and later versions;
-
22 version 22.2 and later versions.
Juniper Networks Paragon Planner
-
21 version 21.1 and later versions;
-
22 version 22.2 and later versions.
Hasta el momento no se han publicado correcciones de seguridad para estos productos. En la referencias se deja un link donde irán publicando actualizaciones.
CHECK POINT
Según el portal de soporte los productos Check Point no se ven afectados por este problema.
Producto | Estado |
---|---|
Quantum Security Gateway | No vulnerable |
Quantum Security Management | No vulnerable |
CloudGuard | No vulnerable |
Infinity Portal | No vulnerable |
Harmony Endpoint & Harmony Mobile | No vulnerable |
SMB | No vulnerable |
ThreatCloud | No vulnerable |
F5
Según la advertencia de seguridad de esta compañía sus productos no se ven afectados por esta vulnerabilidad.
Product | Branch | Versions known to be vulnerable1 | Fixes introduced in | Severity | CVSSv3 score2 | Vulnerable component or feature |
---|---|---|---|---|---|---|
BIG-IP (all modules) | 16.x | None | Not applicable | Not vulnerable | None | None |
15.x | None | Not applicable | ||||
14.x | None | Not applicable | ||||
13.x | None | Not applicable | ||||
12.x | None | Not applicable | ||||
11.x | None | Not applicable | ||||
BIG-IQ Centralized Management | 8.x | None | Not applicable | Not vulnerable | None | None |
7.x | None | Not applicable | ||||
F5OS | 1.x | None | Not applicable | Not vulnerable | None | None |
Traffix SDC | 5.x | ** | ** | ** | ** | ** |
NGINX Plus | R19 – R25 | None | Not applicable | Not vulnerable | None | None |
NGINX Open Source | 1.x | None | Not applicable | Not vulnerable | None | None |
NGINX Unit | 1.x | None | Not applicable | Not vulnerable | None | None |
NGINX App Protect | 3.x | None | Not applicable | Not vulnerable | None | None |
NGINX Controller | 3.x | None | Not applicable | Not vulnerable | None | None |
NGINX Ingress Controller | 2.x | None | Not applicable | Not vulnerable | None | None |
1.x | None | Not applicable | Not vulnerable | None | None | |
NGINX Instance Manager | 1.x | None | Not applicable | Not vulnerable | None | None |
NGINX Service Mesh | 1.x | None | Not applicable | Not vulnerable | None | None |
VMware
Varios productos se ven afectados por Log4shell. Ver referencias por una lista actualizada.
-
VMware Horizon
-
VMware vCenter Server
-
VMware HCX
-
VMware NSX-T Data Center
-
VMware Unified Access Gateway
-
VMware WorkspaceOne Access
-
VMware Identity Manager
-
VMware vRealize Operations
-
VMware vRealize Operations Cloud Proxy
-
VMware vRealize Automation
-
VMware vRealize Lifecycle Manager
-
VMware Site Recovery Manager, vSphere Replication
-
VMware Carbon Black Cloud Workload Appliance
-
VMware Carbon Black EDR Server
-
VMware Tanzu GemFire
-
VMware Tanzu Greenplum
-
VMware Tanzu Operations Manager
-
VMware Tanzu Application Service for VMs
-
VMware Tanzu Kubernetes Grid Integrated Edition
-
VMware Tanzu Observability by Wavefront Nozzle
-
Healthwatch for Tanzu Application Service
-
Spring Cloud Services for VMware Tanzu
-
Spring Cloud Gateway for VMware Tanzu
-
Spring Cloud Gateway for Kubernetes
-
API Portal for VMware Tanzu
-
Single Sign-On for VMware Tanzu Application Service
-
App Metrics
-
VMware vCenter Cloud Gateway
-
VMware vRealize Orchestrator
-
VMware Cloud Foundation
-
VMware Workspace ONE Access Connector
-
VMware Horizon DaaS
-
VMware Horizon Cloud Connector
-
VMware NSX Data Center for vSphere
-
VMware AppDefense Appliance
-
VMware Cloud Director Object Storage Extension
-
VMware Telco Cloud Operations
-
VMware vRealize Log Insight
-
(Mas productos pueden ser agregados)
Recomendación
Esta vulnerabilidad fue corregida por Apache en la versión 2.15.0 de Log4j 2 por lo tanto es necesario actualizar los sistemas que utilicen está librería.
Es necesario tener en cuenta que Log4J v1 no recibe más soporte y por lo tanto no tendrá actualizaciones de seguridad para esta vulnerabilidad. Se recomienda fuertemente que se actualice rápidamente a Log4J 2.15.0.
Cómo detectar intentos de explotación
Es posible encontrar intentos de explotación de esta vulnerabilidad con la siguiente búsqueda y filtro:
$ sudo egrep -l -i -r ‘\$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+’ /var/log
$ sudo egrep -i -r ‘\$\{jndi:(ldap[s]?|rmi)://[^\n]+’ /var/log
$ sudo find /var/log -name \*.gz -print0 | xargs -0 zgrep -E -i ‘\$\{jndi:(ldap[s]?|rmi)://[^\n]+’
$ sudo find /var/log/ -type f -exec sh -c “cat {} | sed -e ‘s/\${lower://’g | tr -d ‘}’ | egrep -I -i ‘jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):'” \;
También es posible usar reglas YARA:
https://github.com/Neo23x0/signature-base/blob/master/yara/expl_log4j_cve_2021_44228.yar
REFERENCIAS
CISCO:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
HUAWEI:
Juniper:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11259&actp=LIST_RECENT
Check Point:
F5:
https://support.f5.com/csp/article/K19026212
Vmware:
https://www.vmware.com/security/advisories/VMSA-2021-0028.html