Aplicaciones que utilizan Log4J afectadas por CVE-2021-44228 y su mitigación

No todos los días una vulnerabilizad alcanza el dudoso honor de ser un 10/10 como la biblioteca de depuración Log4J de Apache para Java. Esta vulnerabilidad en particular, ha sido registrada como CVE-2021-44228 con una clasificación CVSS «crítica» máxima de 10, especialmente debido a la capacidad de búsqueda de Log4J, combinada con JNDI (Java Naming and Directory Interface). Este problema está muy extendido porque muchos desarrolladores no sabían lo peligroso que resulta emplear Log4J sin filtrar las entradas. El riesgo más significativo es que un atacante puede hacer que una cadena llegue al depurador, cuando es procesada por Log4J, y ejecute código arbitrario. Los primeros ejemplos de esto usaron la ruta $ {jndi: ldap}, que podría llevar a que se cargue código arbitrario desde una URL remota. Esta ruta está parcialmente mitigada por el uso de tiempos de ejecución de Java más nuevos que bloquean el cargador de clases basado en URL de forma predeterminada.
Desafortunadamente, no basta con tener una versión Java moderna para evitar esta vulnerabilidad, ya que la aplicación en sí puede exponer clases que pueden usarse para ejecutar código arbitrario. A continuación exponemos una forma de mitigación y una lista de aplicaciones que hasta la fecha se encuentran expuestas a la vulnerabilidad.

Mitigación

No hay una forma única de mitigar la vulnerabilidad, pues dependerá de la versión en cada caso y no en todos los casos es posible actualizar hasta la Log4j-2.15.0-rc2. Por lo que recomendamos estar pendientes de la página informativa de Apache en la que tratan el tema. Una forma de mitigación es seguir los siguientes pasos:

Definiendo PatternLayout o eliminando las clases

  1. Definir %m{nolookups} en la configuración de PatternLayout de tu fichero log4j2.xml . Comprueba que no tengas más de una instancia o ficheros de configuración.
  2. Eliminarlas las clases JndiLookup y JndiManager del jar log4j-core.

Activando formatMsgNoLookups

En el caso de utilizar de la versión 2.10.0 a la 2.14.0 de log4j es posible configurar la marca manualmente formatMsgNoLookups a true de alguna de las siguientes formas:

  1. Pasar como un argumento de JVM: java -Dlog4j2.formatMsgNoLookups = true …
  2. Establecer como variable de entorno: LOG4J_FORMAT_MSG_NO_LOOKUPS=true java …
  3. Establecer usando la variable de entorno de argumentos de JVM: JAVA_OPTS = -Dlog4j2.formatMsgNoLookups = true

Mitigación mediante filtrado de las peticiones en el WAF

El éxito de la mitigación en el lado del sistema mediante filtrado del user agent o reglas YARA en el waf, es bastante limitado puesto que no corrige el problema existente y puede ser evitado de formas muy diversas.

  1. Bloquear user-agent: 
    jndi:(ldap[s]?|rmi|dns)

Detección de ataques Log4shell (CVE-2021-44228)

KB de métodos de detección de de ataques Log4shell (CVE-2021-44228)

Dado que es una librería incluida en las propias aplicaciones Java, resulta complejo hacernos a la idea del alcance y magnitud del problema. Hemos recopilado una relación de las aplicaciones que utilizan Log4J y que en mayor o menor medida están expuestas a esta vulnerabilidad. Esto no excluye a todos los desarrollos a medida existentes que la incluyen.

Productos y servicios afectados por por CVE-2021-44228

Apache

Broadcom (incluidos CA y Symantec)

La lista actualizada puede encontrarse en su advisory.

Numerosos productos aún bajo investigación.

Cisco

ver lista actualizada en su advisory.

Herramientas colaborativas

  • Cisco Webex Meetings Server

Seguridad de contenidos y red

  • Cisco Advanced Web Security Reporting Application
  • Cisco Identity Services Engine (ISE)
  • Cisco Registered Envelope Service

Gestión de redes y aprovisionamiento

  • Cisco CloudCenter Suite Admin
  • Cisco Crosswork Change Automation
  • Cisco Evolved Programmable Network Manager
  • Cisco Integrated Management Controller (IMC) Supervisor
  • Cisco Intersight Virtual Appliance
  • Cisco Network Services Orchestrator (NSO)
  • Cisco Nexus Dashboard (formerly Cisco Application Services Engine)
  • Cisco WAN Automation Engine (WAE)

Routing y Switching

  • Cisco SD-WAN vManage

Unified Computing

  • Cisco UCS Director

Comunicaciones unificadas y voz

  • Cisco BroadCloud
  • Cisco Computer Telephony Integration Object Server (CTIOS)
  • Cisco Packaged Contact Center Enterprise
  • Cisco Unified Contact Center Enterprise – Live Data server
  • Cisco Unified Contact Center Enterprise
  • Cisco Unified Intelligent Contact Management Enterprise
  • Cisco Unified SIP Proxy Software

Video, streaming, tele presencia, y servicios de Transcoding

  • Cisco Video Surveillance Operations Manager

Cisco Cloud Hosted Services

  • Cisco DNA Spaces
  • Cisco Kinetic for Cities
  • Cisco Umbrella
  • Cisco Unified Communications Manager Cloud
  • Cisco Webex Cloud-Connected UC (CCUC)
  • Managed Services Accelerator (MSX) Network Access Control Service
  • CloudLock
  • Duo
  • ThousandEyes

Otras

  • Cisco Common Services Platform Collector (CSPC)

Numerosos productos aún bajo investigación.

Elastic

Elastic ha confirmado estar expuesto, si bien estiman que puede ser difícil de explotar.

HCL

Ver las entradas en su KB CVE-2021-44228 para ampliar información.

VMware

La lista mas actualizada la podéis encontrar en su advisory.

  • API Portal para VMware Tanzu
  • App Metrics
  • Healthwatch para Tanzu Application Service
  • Single Sign-On for VMware Tanzu Application Service
  • Spring Cloud Gateway para Kubernetes
  • Spring Cloud Gateway para VMware Tanzu
  • Spring Cloud Services para VMware Tanzu
  • VMware Carbon Black Cloud Workload Appliance
  • VMware Carbon Black EDR Servers
  • VMware Cloud Foundation
  • VMware HCX
  • VMware Horizon
  • VMware Identity Manager
  • VMware NSX-T Data Center
  • VMware Site Recovery Manager
  • VMware Tanzu Application Service for VMs
  • VMware Tanzu GemFire
  • VMware Tanzu Greenplum
  • VMware Tanzu Kubernetes Grid Integrated Edition
  • VMware Tanzu Observability by Wavefront Nozzle
  • VMware Tanzu Operations Manager
  • VMware Tanzu SQL with MySQL for VMs
  • VMware Telco Cloud Automation
  • VMware Unified Access Gateway
  • VMware vCenter Cloud Gateway
  • VMware vCenter Server
  • VMware vRealize Automation
  • VMware vRealize Lifecycle Manager
  • VMware vRealize Log Insight
  • VMware vRealize Operations
  • VMware vRealize Operations Cloud Proxy
  • VMware vRealize Orchestrator
  • VMware WorkspaceOne Access

otros

Productos potencialmente afectados: