Detección de CVE-2021-45046, CVE-2021-44228: Vulnerabilidades en la Biblioteca Java Log4j
Tabla de contenidos:
Otra migraña más para los equipos SOC — ¡cuidado con la vulnerabilidad más candente de Log4j, CVE-2021-45046! El mundo de la ciberseguridad ha sido sacudido por un número creciente de intentos de explotación para CVE-2021-44228, una vulnerabilidad crítica de día cero que afecta la biblioteca de registro Java de Apache Log4j, mientras que otro fallo RCE de Log4j de alta severidad, identificado como CVE-2021-45046, entra en escena.
Descripción de CVE-2021-45046
La última vulnerabilidad CVE-2021-45046 fue descubierta justo un día después del lanzamiento de la versión 2.16.0 de Log4j el 14 de diciembre, recibiendo un puntaje CVSS de 3.7. Posteriormente, debido a los riesgos altamente evaluados que representa, recibió la calificación de impacto crítico de seguridad con un puntaje dramáticamente aumentado a 9.0. Según la notificación de Apache Software Foundation, la nueva vulnerabilidad descubierta afecta a todas las versiones de Log4j desde 2.0-beta9 hasta 2.15.0 (excluyendo 2.12.2).
Descripción de Log4Shell (CVE-2021-44228)
Otra notoria vulnerabilidad de día cero que se descubrió por primera vez en Log4j, conocida como Log4Shell or LogJam, , es un problema de ejecución remota de código no autenticado que permite el compromiso total del sistema. La falla es extremadamente fácil de explotar y, con múltiples PoCs difundidas en línea, se convierte en un asunto trivial para los adversarios. Como resultado, los hackers pueden lanzar ataques de ejecución remota de código para obtener control total sobre el servidor afectado.
El análisis de CVE-2021-44228 muestra que todos los sistemas que ejecutan Log4j 2.0-beta9 a 2.14.1 son vulnerables. Además, dado que el problema de seguridad impacta las configuraciones predeterminadas de la mayoría de los frameworks de Apache, como Apache Struts2, Apache Solr, Apache Druid, Apache Flink, una amplia gama de software y aplicaciones web utilizadas tanto por empresas como por usuarios individuales están expuestas a los ataques.
El equipo de seguridad de Alibaba Cloud detectó y reportó la vulnerabilidad a Apache a finales de noviembre de 2021. Notablemente, se identificó inicialmente en servidores relacionados con Minecraft, donde los adversarios intentaron ejecutar código malicioso en clientes que ejecutaban la versión Java del extremadamente popular juego. Después de que se identificó la causa del problema en Log4j, rápidamente comenzaron a aparecer muestras de código de explotación en línea.
Actualmente, los expertos en seguridad están reportando escaneos a nivel de Internet para sistemas vulnerables. Además, CERT New Zeland alertó sobre múltiples explotaciones in-the-wild.
CVE-2021-44228: Detección de Log4j RCE
Todos los usuarios que utilicen versiones vulnerables de Log4j deben actualizar a log4j-2.15.0-rc1 lo antes posible. Además, se alienta a las organizaciones a monitorear cualquier actividad maliciosa asociada con CVE-2021-44228 y buscar anomalías que demuestren que han sido comprometidas. Para mejorar la detección oportuna de ataques, el equipo de SOC Prime ha creado un lote de reglas Sigma dedicadas. Los profesionales de seguridad pueden descargar las reglas desde la plataforma Detection as Code de SOC Prime:
Patrones de Detección de Explotación de Log4j RCE [CVE-2021-44228] (a través del servidor web)
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix y Open Distro.
La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando la táctica de acceso inicial con la técnica Exploit Public-Facing Application como principal (T1190).
Patrones de Detección de Explotación de Log4j RCE [CVE-2021-44228] (a través de proxy)
Patrones de Detección de Explotación de Log4j RCE [CVE-2021-44228] (a través de palabras clave)
Para ayudar a las organizaciones a mantenerse constantemente alertas, el equipo de SOC Prime ha lanzado recientemente la última regla basada en Sigma para detectar posibles intentos de explotación de CVE-2021-44228. Esta regla detecta posibles patrones de explotación de Log4j basados en logs de proxy y la descarga de un archivo de clase malicioso que lleva a crear un shell bash inverso:
Posible Carga Remota Maliciosa de Archivo de Clase Java [Log4j/CVE-2021-44228] (a través de proxy)
CVE-2021-45046 Detección y Mitigación
Todos los usuarios que usen Java 8 o posterior deben actualizar a la última versión de Log4j 2.16.0, ya que las mitigaciones anteriores en Apache Log4j 2.15.0 parecieron ser incompletas. Para ayudar a las organizaciones a detectar CVE-2021-45046 y minimizar los riesgos de intentos de explotación, el equipo de SOC Prime ha lanzado recientemente una regla basada en Sigma dedicada que identifica patrones de explotación de Log4j y entradas de logs en cualquier archivo de log disponible.
Patrones de Detección de Explotación de Log4j [CVE-2021-45046] (a través de palabras clave)
Regístrate gratis en la plataforma Detection as Code de SOC Prime para detectar las últimas amenazas en tu entorno de seguridad, mejorar tu fuente de logs y cobertura MITRE ATT&CK, y aumentar el ROI de tu organización en ciberseguridad. Los expertos en seguridad también pueden unirse a nuestro Programa de Recompensa de Amenazas para monetizar su propio contenido de detección.
