Cuando todos pensábamos que la cosa no podía ir a peor, y tras unos días frenéticos parcheando y protegiendo las aplicaciones vulnerables de nuestros clientes, amanecemos con una nueva vulnerabilidad en la librería Log4J. Si bien la CVE-2021-45046 aún no ha sido completamente desarrollada, éste nuevo vector de ataque, identificado por los propios desarrolladores de Log4J permitiría a un atacante realizar un ataque de denegación de de Servicio (DoS).
Según nuestra investigación sobre esta vulnerabilidad, no serviría de nada las medidas de mitigación empleadas hasta ahora. Cambiar el valor de log4j2.noFormatMsgLookup a true no protege frente a esta vulnerabilidad. Por lo que es mas importante que nunca actualizar las librerías por encima de la 2.16.0 o parchear la librería manualmente.
KB de métodos de detección de de ataques Log4shell (CVE-2021-44228)