Vulnerabilidad crítica en Apache Log4j (Log4Shell)

La vulnerabilidad crítica que permite la ejecución remota de comandos se encuentra en  la librería de registro de Java, Apache Log4j, afectando las versiones anteriores a 2.15.0.

La vulnerabilidad fue catalogada con CVE-2021-44228 y nombrada públicamente como Log4Shell.

Para explotar la vulnerabilidad un atacante envía un request HTTP contra un servidor que genera logs utilizando  Log4j 2 y aprovecha JNDI (Java Naming and Directory Interface) para realizar un request al sitio controlado por el atacante donde aloja el código malicioso. Luego, la vulnerabilidad hace que el proceso explotado llegue al sitio malicioso y ejecute la carga útil (payload).

Productos afectados

Muchos dispositivos expuestos hacia internet utilizan esta tecnología y por lo tanto se ven afectadas por esta vulnerabilidad. A continuación se listan algunos productos que según sus fuentes oficiales podrían verse afectados.

En la sección referencias se puede encontrar las publicaciones oficiales y actualizadas.

CISCO

Producto Cisco Bug ID Parche disponible
Collaboration and Social Media
Cisco Webex Meetings Server CSCwa47283
Network and Content Security Devices
Cisco Advanced Web Security Reporting Application CSCwa47278
Cisco Identity Services Engine (ISE) CSCwa47133
Cisco Registered Envelope Service CSCwa47192
Network Management and Provisioning
Cisco CloudCenter Suite Admin CSCwa47349
Cisco Crosswork Change Automation CSCwa47367
Cisco Evolved Programmable Network Manager CSCwa47310
Cisco Integrated Management Controller (IMC) Supervisor CSCwa47307
Cisco Intersight Virtual Appliance CSCwa47304
Cisco Network Services Orchestrator (NSO) CSCwa47342
Cisco Nexus Dashboard (formerly Cisco Application Services Engine) CSCwa47299 2.1.2 (7-Jan-2022)
Cisco WAN Automation Engine (WAE) CSCwa47369
Routing and Switching – Enterprise and Service Provider
Cisco SD-WAN vManage CSCwa47745
Unified Computing
Cisco UCS Director CSCwa47288
Voice and Unified Communications Devices
Cisco BroadCloud CSCwa47282 Remediation has been completed.
Cisco Computer Telephony Integration Object Server (CTIOS) CSCwa47273
Cisco Enterprise Chat and Email CSCwa47392
Cisco Packaged Contact Center Enterprise CSCwa47274
Cisco Unified Contact Center Enterprise – Live Data server CSCwa46810
Cisco Unified Contact Center Enterprise CSCwa47273
Cisco Unified Intelligent Contact Management Enterprise CSCwa47273
Cisco Unified SIP Proxy Software CSCwa47265
Video, Streaming, TelePresence, and Transcoding Devices
Cisco Video Surveillance Operations Manager CSCwa47360
Cisco Cloud Hosted Services
Cisco DNA Spaces CSCwa47320
Cisco Kinetic for Cities CSCwa47361
Cisco Umbrella CSCwa47365 Remediation has been completed.
Cisco Unified Communications Manager Cloud CSCwa47036
Cisco Webex Cloud-Connected UC (CCUC) CSCwa47331
Managed Services Accelerator (MSX) Network Access Control Service CSCwa47341
CloudLock Remediation has been completed.
Duo Remediation has been completed.
ThousandEyes Remediation has been completed.
Webex Meetings Remediation has been completed.

HUAWEI

El Product Security Incident Response Team (PSIRT) de Huawei continúan en proceso de investigación y no han lanzado ningúna advertencia al respecto.

Por otro lado la comunidad de OpenEuler, Sistema Operativo desarrollado por dicha compañía, lanzó la versión openEuler 20.03 LTS SP1 / SP2 que corrige la vulnerabilidad Log4Shel dentro del sistemal.

Juniper

Basado en las investigaciones realizadas por Juniper estos sistemas podrían ser vulnerables:

  • JSA Series

  • Junos Space Management Applications

  • Junos Space Network Management Platform

  • Network Director

  • Secure Analytics

  • Security Director, but not Security Director Insights

Basado en las investigaciones realizadas por Juniper estos sistemas son vulnerables:

Juniper Networks Paragon Active Assurance

  • 21 version 21.1 and later versions;

  • 22 version 22.2 and later versions.

Juniper Networks Paragon Insights

  • 21 version 21.1 and later versions;

  • 22 version 22.2 and later versions.

Juniper Networks Paragon Pathfinder

  • 21 version 21.1 and later versions;

  • 22 version 22.2 and later versions.

Juniper Networks Paragon Planner

  • 21 version 21.1 and later versions;

  • 22 version 22.2 and later versions.

Hasta el momento no se han publicado correcciones de seguridad para estos productos. En la referencias se deja un link donde irán publicando actualizaciones.

CHECK POINT

Según el portal de soporte los productos Check Point no se ven afectados por este problema.

Producto Estado
Quantum Security Gateway No vulnerable
Quantum Security Management No vulnerable
CloudGuard No vulnerable
Infinity Portal No vulnerable
Harmony Endpoint & Harmony Mobile No vulnerable
SMB No vulnerable
ThreatCloud No vulnerable

F5

Según la advertencia de seguridad de esta compañía sus productos no se ven afectados por esta vulnerabilidad.

Product Branch Versions known to be vulnerable1 Fixes introduced in Severity CVSSv3 score2 Vulnerable component or feature
BIG-IP (all modules) 16.x None Not applicable Not vulnerable None None
15.x None Not applicable
14.x None Not applicable
13.x None Not applicable
12.x None Not applicable
11.x None Not applicable
BIG-IQ Centralized Management 8.x None Not applicable Not vulnerable None None
7.x None Not applicable
F5OS 1.x None Not applicable Not vulnerable None None
Traffix SDC 5.x ** ** ** ** **
NGINX Plus R19 – R25 None Not applicable Not vulnerable None None
NGINX Open Source 1.x None Not applicable Not vulnerable None None
NGINX Unit 1.x None Not applicable Not vulnerable None None
NGINX App Protect 3.x None Not applicable Not vulnerable None None
NGINX Controller 3.x None Not applicable Not vulnerable None None
NGINX Ingress Controller 2.x None Not applicable Not vulnerable None None
1.x None Not applicable Not vulnerable None None
NGINX Instance Manager 1.x None Not applicable Not vulnerable None None
NGINX Service Mesh 1.x None Not applicable Not vulnerable None None

VMware

Varios productos se ven afectados por Log4shell. Ver referencias por una lista actualizada.

  • VMware Horizon

  • VMware vCenter Server

  • VMware HCX

  • VMware NSX-T Data Center

  • VMware Unified Access Gateway

  • VMware WorkspaceOne Access

  • VMware Identity Manager

  • VMware vRealize Operations

  • VMware vRealize Operations Cloud Proxy

  • VMware vRealize Automation

  • VMware vRealize Lifecycle Manager

  • VMware Site Recovery Manager, vSphere Replication

  • VMware Carbon Black Cloud Workload Appliance

  • VMware Carbon Black EDR Server

  • VMware Tanzu GemFire

  • VMware Tanzu Greenplum

  • VMware Tanzu Operations Manager

  • VMware Tanzu Application Service for VMs

  • VMware Tanzu Kubernetes Grid Integrated Edition

  • VMware Tanzu Observability by Wavefront Nozzle

  • Healthwatch for Tanzu Application Service

  • Spring Cloud Services for VMware Tanzu

  • Spring Cloud Gateway for VMware Tanzu

  • Spring Cloud Gateway for Kubernetes

  • API Portal for VMware Tanzu

  • Single Sign-On for VMware Tanzu Application Service

  • App Metrics

  • VMware vCenter Cloud Gateway

  • VMware vRealize Orchestrator

  • VMware Cloud Foundation

  • VMware Workspace ONE Access Connector

  • VMware Horizon DaaS

  • VMware Horizon Cloud Connector

  • VMware NSX Data Center for vSphere

  • VMware AppDefense Appliance

  • VMware Cloud Director Object Storage Extension

  • VMware Telco Cloud Operations

  • VMware vRealize Log Insight

  • (Mas productos pueden ser agregados)

Recomendación

Esta vulnerabilidad fue corregida por Apache en la versión 2.15.0 de Log4j 2 por lo tanto es necesario actualizar los sistemas que utilicen está librería.

Es necesario tener en cuenta que Log4J v1 no recibe más soporte y por lo tanto no tendrá actualizaciones de seguridad para esta vulnerabilidad. Se recomienda fuertemente que se actualice rápidamente a Log4J 2.15.0.

Cómo detectar intentos de explotación

Es posible encontrar intentos de explotación de esta vulnerabilidad con la siguiente búsqueda y filtro:

$ sudo egrep -l -i -r ‘\$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+’ /var/log

$ sudo egrep -i -r ‘\$\{jndi:(ldap[s]?|rmi)://[^\n]+’ /var/log

$ sudo find /var/log -name \*.gz -print0 | xargs -0 zgrep -E -i ‘\$\{jndi:(ldap[s]?|rmi)://[^\n]+’

$ sudo find /var/log/ -type f -exec sh -c “cat {} | sed -e ‘s/\${lower://’g | tr -d ‘}’ | egrep -I -i ‘jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):'” \;

También es posible usar reglas YARA:

https://github.com/Neo23x0/signature-base/blob/master/yara/expl_log4j_cve_2021_44228.yar

REFERENCIAS

CISCO:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd

HUAWEI:

https://www.huaweiupdate.com/openeuler-open-source-community-log4j-high-risk-security-vulnerability-repair-is-completed/

Juniper:

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11259&actp=LIST_RECENT

https://blogs.juniper.net/en-us/enterprise-cloud-and-transformation/apache-log4j-vulnerability-cve-2021-44228-raises-widespread-concerns

Check Point:

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk176865&partition=General&product=IPS

F5:

https://support.f5.com/csp/article/K19026212

Vmware:

https://www.vmware.com/security/advisories/VMSA-2021-0028.html