Noticias Tecnológicas

La corrección de parches del día 0 de Log4J crítico tiene su propia vulnerabilidad que se explota

Wikimedia Commons / Alex E. Proimos

El jueves pasado, el mundo se enteró de una explotación salvaje de un día cero de ejecución de código crítico en Log4J, una utilidad de registro utilizada por casi todos los servicios en la nube y redes corporativas del mundo. Los desarrolladores de código abierto lanzaron rápidamente una actualización que solucionó el error y les pidió a todos los usuarios que lo instalaran de inmediato.

Los investigadores ahora informan que el parche, que se lanzó como Log4J 2.15.0, contiene al menos dos vulnerabilidades y que los atacantes están explotando activamente una o ambas contra objetivos del mundo real que ya han aplicado la actualización. Los investigadores instan a las organizaciones a que apliquen un nuevo parche lo antes posible, que se lanzará como versión 2.16.0, para abordar la vulnerabilidad que se está rastreando como CVE-2021-45046.

La solución anterior Los investigadores dijeron La noche del martes estuvo «incompleta en ciertas configuraciones no estándar», lo que permitió a los atacantes lanzar ataques de denegación de servicio que generalmente facilitan la desconexión total de los servicios vulnerables hasta que las víctimas reinician sus servidores o toman otras medidas. La versión 2.16.0 «soluciona este problema al eliminar el soporte para patrones de búsqueda de mensajes y deshabilitar la funcionalidad JNDI de forma predeterminada», según el aviso de seguridad vinculado anteriormente.

El miércoles, investigadores de la empresa de seguridad Praetorian dijeron que había una tarde vulnerabilidad más seria en 2.15.0: un error de divulgación de información que se puede utilizar para descargar datos de los servidores afectados.

«En nuestra investigación, hemos demostrado que 2.15.0 aún puede permitir la exfiltración de datos confidenciales en determinadas circunstancias», escribió el investigador pretoriano Nathan Sportsman. «Hemos enviado detalles técnicos del problema a la Fundación Apache, pero recomendamos encarecidamente a nuestros clientes que actualicen a 2.16.0 lo antes posible».

Los investigadores publicaron lo siguiente Video esto muestra su exploit de prueba de concepto en acción:

Log4j 2.15.0 aún permite la exfiltración de datos confidenciales.

Mientras tanto, los investigadores de la red de distribución de contenido Cloudflare dijo el miércoles que CVE-2021-45046 ahora se está explotando activamente. La compañía instó a las personas a actualizar a la versión 2.16.0 lo antes posible.

La publicación de Cloudflare no dijo si los atacantes solo usan la vulnerabilidad para ataques DoS o si también la usan para robar datos. Los investigadores de Cloudflare no estuvieron disponibles de inmediato para obtener aclaraciones. Los investigadores pretorianos tampoco estuvieron disponibles de inmediato para decir si sabían de ataques en la naturaleza que se aprovecharon de la falla de exfiltración de datos. Tampoco proporcionaron más detalles sobre la vulnerabilidad, ya que no querían proporcionar ninguna información que facilite a los piratas informáticos explotarla.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba