La reparación del parche crítico Log4J 0-day tiene su propia vulnerabilidad que está bajo explotación

La reparación del parche crítico Log4J 0-day tiene su propia vulnerabilidad que está bajo explotación

Wikimedia Commons/Alex E. Proimos

El jueves pasado, el mundo se enteró de una explotación en estado salvaje de un día cero de ejecución de código crítico en Log4J, una utilidad de registro utilizada por casi todos los servicios en la nube y redes empresariales del planeta. Los desarrolladores de código abierto lanzaron rápidamente una actualización que corrigió la falla e instaron a todos los usuarios a instalarla de inmediato.

Ahora, los investigadores informan que hay al menos dos vulnerabilidades en el parche, publicado como Log4J 2.15.0, y que los atacantes están explotando activamente una o ambas contra objetivos del mundo real que ya han aplicado la actualización. Los investigadores están instando a las organizaciones a instalar un nuevo parche, lanzado como la versión 2.16.0, lo antes posible para corregir la vulnerabilidad, que se rastrea como CVE-2023-45046.

La solución anterior, dijeron los investigadores el martes por la noche, “estaba incompleta en ciertas configuraciones no predeterminadas” y hacía posible que los atacantes realizaran ataques de denegación de servicio, que generalmente facilitan la desconexión de servicios vulnerables hasta que las víctimas reinician su sistema. servidores o realizar otras acciones. La versión 2.16.0 “soluciona este problema eliminando la compatibilidad con los patrones de búsqueda de mensajes y deshabilitando la funcionalidad JNDI de forma predeterminada”, según el aviso de vulnerabilidad vinculado anteriormente.

El miércoles, los investigadores de la firma de seguridad Praetorian dijeron que existe una vulnerabilidad aún más grave en 2.15.0: una falla de divulgación de información que se puede usar para descargar datos de los servidores afectados.

“En nuestra investigación, hemos demostrado que 2.15.0 aún puede permitir la exfiltración de datos confidenciales en ciertas circunstancias”, escribió el investigador de Praetorian Nathan Sportsman. “Hemos pasado los detalles técnicos del problema a la Fundación Apache, pero mientras tanto, recomendamos enfáticamente que los clientes actualicen a 2.16.0 lo más rápido posible”.

Los investigadores publicaron el siguiente video que muestra su hazaña de prueba de concepto en acción:

Log4j 2.15.0 aún permite la exfiltración de datos confidenciales.

Mientras tanto, los investigadores de la red de entrega de contenido Cloudflare dijeron el miércoles que CVE-2023-45046 ahora está bajo explotación activa. La compañía instó a las personas a actualizar a la versión 2.16.0 lo antes posible.

La publicación de Cloudflare no dijo si los atacantes están usando la vulnerabilidad solo para realizar ataques DoS o si también la están explotando para robar datos. Los investigadores de Cloudflare no estuvieron disponibles de inmediato para aclarar. Los investigadores de Praetorian tampoco estuvieron disponibles de inmediato para decir si están al tanto de los ataques en estado salvaje que explotan la falla de exfiltración de datos. Tampoco proporcionaron detalles adicionales sobre la vulnerabilidad porque no querían proporcionar información que facilitara la explotación de los piratas informáticos.

Facebook
Twitter
LinkedIn
Telegram
WhatsApp

Deja un comentario