Introducción
Recientemente, se han revelado los detalles de una vulnerabilidad de ejecución remota de código en Apache Log4j2. Una vez que la misma sea intervenida por un atacante, causará graves daños. La vulnerabilidad tiene un rango de impacto extremadamente amplio y puede tener graves consecuencias. Recomendamos que las organizaciones inicien una respuesta de emergencia para repararla inmediatamente.
Apache Log4j2 es un excelente marco de registro de Java. Esta herramienta reescribe el marco Log4j e introduce un gran número de características. El marco de registro se incorpora comúnmente con el sistema de servicios web. La vulnerabilidad aprovecha la insuficiente sanitización de los datos suministrados por el usuario en el servicio de búsqueda de nombres de dominio o directorios para permitir potencialmente a los atacantes construir peticiones maliciosas para desencadenar vulnerabilidades de ejecución remota de código.
Versión afectada
2.0 <= Apache Log4j <= 2.15.0-rc1
Sugerencias de defensa y corrección
La explotación de la vulnerabilidad no requiere una configuración especial. El equipo de seguridad ha verificado que Apache Struts2, Apache Solr, Apache Druid, Apache Flink, etc. están afectados. Dado que este componente es ampliamente utilizado, se recuerda a los usuarios de Apache Log4j2 que tomen medidas de seguridad lo antes posible para evitar los ataques de la vulnerabilidad.
Basándonos en las características actuales de la misma, recomendamos lo siguiente:
1.Solución oficial: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2.Modificar el parámetro jvm -Dlog4j2.formatMsgNoLookups=true
3.Modificar la configuración log4j2.formatMsgNoLookups=True
4.Establecer la variable de entorno del sistema FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS en true
Hillstone NGFW, NIPS, sBDS pueden soportar la detección de la vulnerabilidad. Versión de la base de datos de firmas IPS: 2.1.434/3.0.86. Las firmas correspondientes: 334337, 334338, 334364.
Figura 1. Vulnerabilidad de Log4j detectada por Hillstone NGFW, NIPS, sBDS
El WAF de Hillstone puede soportar la detección de la vulnerabilidad. Versión de la base de datos de firmas del WAF: 1.1.130. La firma correspondiente: 1070310151.
Figura 2. Vulnerabilidad de Log4j detectada por Hillstone WAF
La inteligencia de esta vulnerabilidad también está disponible en Hillstone iSource.
Figura 3. Inteligencia de puntos calientes en Hillstone iSource
