Ir al contenido
Perspectiva de los analistas: Descargue hoy mismo su copia del informe Gartner® Hype Cycle™ for Security Operations, 2024. | Obtener informe
Blogs

CVE-2021-44228: Log4j

El 9 de diciembre de 2021, se reveló una grave vulnerabilidad de explotación remota de código (RCE), "Log4Shell", en log4j, una biblioteca de registro mantenida por la Fundación Apache y utilizada por innumerables aplicaciones Java en todo el mundo. Lo que hace que esta vulnerabilidad sea más peligrosa que la mayoría es la adopción generalizada de la biblioteca en un número significativo de aplicaciones. Este fallo no afecta a un solo servicio o producto, sino a cualquier servicio o producto que utilice la API Log4j2, que son muchos. Un atacante puede crear una carga útil maliciosa que engañe a un servidor para que cargue código ejecutable desde una ubicación controlada por el atacante, dando lugar a la ejecución remota de código (RCE) con los niveles de permiso del usuario que ejecuta el servicio.

Es difícil escanear directamente log4j porque no es un servicio ni una aplicación, sino una biblioteca integrada en muchas otras aplicaciones. Como tal, sólo podemos escanear las aplicaciones que sabemos que utilizan la biblioteca. Censys ha decidido añadir nuevos hallazgos en actualizaciones incrementales a medida que se encuentren más indicadores y los proveedores informen de sus resultados. En aras del tiempo, también hemos decidido cubrir únicamente software y servicios con alta visibilidad y vulnerabilidades verificables (confirmación del desarrollador).

Dado que la información sobre el impacto de esta vulnerabilidad es amplia en algunos aspectos y limitada en otros, Censys actualizará periódicamente este post con el software vulnerable a medida que vayan llegando noticias. El lector debe tener en cuenta que no todo lo que señalamos es susceptible, y no todo lo vulnerable aparece en la lista. A continuación, analizamos el software afectado más popular que hemos encontrado en Internet:


Apache Solr

El primero es Apache Solr. Solr es una plataforma Java de código abierto que utiliza el motor de búsqueda Lucene para proporcionar indexación y búsqueda RESTful de documentos. El 10 de diciembre de 2021, el equipo de Solr confirmó que el proyecto era vulnerable a este ataque para las versiones 7.4.0 a 7.7.3 y 8.0.0 a 8.11.0. Las versiones anteriores a la 7.4 no utilizan log4j2; en su lugar, utilizan una biblioteca log4j más antigua que puede ser vulnerable para las instalaciones de Solr con configuraciones de registro personalizadas.

Censys puede identificar los servicios de Solr basándose en el panel administrativo de Solr utilizando el título HTML de "Solr Admin" y comparándolo con diferentes elementos del cuerpo de la respuesta HTTP que parecen indicar qué versión se está ejecutando. Por ejemplo, los siguientes elementos HTML muestran la versión etiquetada del software en ejecución (observe el "?_=8.9.0" al final de cada enlace):

<link rel="shortcut icon" type="image/x-icon" href="img/favicon.ico?_=8.9.0">

Con la combinación de estos dos patrones, hemos descubierto que de las 2.399 instancias únicas que encontramos en ejecución, y de ellas, el número de servicios que se encuentran dentro del rango vulnerable de log4j2 es de 1.398.

Hemos descubierto que de las 2.399 instancias únicas de Solr en la Internet pública, 1.398 servidores utilizan versiones vulnerables y son probablemente vulnerables a la explotación. A continuación, mostramos las versiones vulnerables conocidas y el número de servicios indexados por Censys.

Si la versión de Solr era anterior a la 7.4, aunque no es vulnerable por defecto, puede hacerse vulnerable si un administrador tiene configurado un registro personalizado. Así que como medida de precaución, la siguiente tabla muestra todas las versiones conocidas de Apache Solr que Censys fue capaz de localizar.

Solr es un motor de base de datos backend que no está pensado para ser expuesto públicamente, y animamos a los operadores a restringir el acceso público a Solr independientemente de la versión que se esté ejecutando.


UniFi

Enlaces rápidos

La aplicación de red UniFi se ejecuta en el producto Cloud Key o Cloud Controller, que permite al usuario administrar su equipo UniFi a través de Internet. Los desarrolladores de UniFi han señalado en su comunicado que las siguientes versiones del software incluyen una versión vulnerable de log4j2:

  • 6.5.54 y anteriores
  • 6.4.54 y anteriores
  • 6.3.51 y anteriores
  • 6.2.26 y anteriores
  • 6.1.71 y anteriores
  • 6.0.45 y anteriores
  • 5.14.25 y anteriores
  • 5.13.33 y anteriores
  • 5.12.72 y anteriores
  • 5.11.52 y anteriores
  • 5.10.27 y anteriores
  • 5.9.33 y anteriores
  • 5.8.30 y anteriores
  • 5.7.28 y anteriores
  • 5.6.42 y anteriores

Actualmente hay dos maneras de determinar la versión exacta de un dispositivo UniFi. Las versiones 5.x más antiguas incluirán la versión en el cuerpo del dashboard principal como el valor de la siguiente cadena: "window.unifiConfig.version". Las versiones 6.x más recientes hacen referencia a un nombre de archivo prefijado con "angular" y sufijado con un hash único. Un analista puede utilizar este hash para asignar el URI a la versión real del software; por ejemplo, "/manage/angular/g1bfe798f1/js/index.js" se puede asignar a la versión 6.1.70.0.

Nota: Los lectores pueden encontrar una lista de correspondencias de URI a versión al final de este documento.

Utilizando esta huella digital junto con las asignaciones hash, Censys determinó que había 85.328 servicios de red UniFi potencialmente vulnerables en Internet, de los cuales sólo 1.876 utilizaban la última versión 6.5.54 del software. El gráfico de barras anterior muestra las versiones vulnerables y el número de servicios descubiertos. Aunque todavía no se ha descubierto un exploit que funcione específicamente para los dispositivos UniFi, se recomienda a los usuarios que actualicen y consideren si necesitan tener servicios UniFi expuestos públicamente.


Metabase

Enlaces rápidos

Metabase es un producto de código abierto para la creación de gráficos y cuadros de mando. En el momento de escribir esto, Censys no pudo encontrar ningún anuncio de Metabase. Sin embargo, ha habido varias etiquetas nuevas en el repositorio Github de Metabase en las que se hace referencia a correcciones para esta CVE:

  • v1.40.7
  • v1.39.7
  • v1.38.6
  • v0.41.4
  • v0.40.7
  • v0.39.7
  • v0.38.6

A continuación se muestra un gráfico con las diferentes versiones de Metabase que hemos podido identificar, junto con el número de servicios encontrados para cada versión.

Obtener la versión exacta de una instalación de Metabase es sencillo, ya que el servicio incrusta la etiqueta git y la rama de lanzamiento como un blob de texto en el cuerpo de la página de destino. Buscando el CPE de Metabase en Censys, podemos obtener el contenido del servicio, que contiene elementos HTML como los siguientes:

"version":{"date":"2021-08-03","tag":"v0.40.2",branch":"release-x.40.x", hash":"b884d29"}

Al analizar la versión a partir de estos datos, Censys ha descubierto que 19.287 servicios utilizan potencialmente una versión vulnerable del software Metabase. A continuación se muestran las 10 principales versiones de Metabase Censys encontradas en Internet.

Las 10 mejores versiones Cuenta
v0.41.3 1,531
v0.41.2 1,504
v0.41.1 1,037
v0.41.0 701
v0.40.2 680
v0.40.5 660
v0.39.4 591
v0.31.2 552
v0.38.0 522
v0.35.4 512


Pagerduty Rundeck

Enlaces rápidos

El 11 de diciembre de 2021, Rundeck by Pagerduty publicó un comunicado en el que se indicaba que las versiones 3.4.6 y anteriores eran vulnerables al ataque log4j. En el momento de escribir esto, Censys fue capaz de encontrar 1.274 servicios que se auto-identifican como una instancia de Rundeck y sólo cuatro hosts que ejecutan la versión 3.4.7 parcheada del software. Para determinar la versión exacta del software, cada página de destino del panel administrativo incluirá un enlace a la documentación del software, que consiste en la versión del servicio que se está ejecutando en ese momento. Por ejemplo:

<a href="https://docs.rundeck.com/3.3.0?utm_source=rundeckapp”>

A continuación se muestra un gráfico de todas las versiones descubiertas del servicio Rundeck y el número de hosts asociados a cada una.


Neo4j

Enlaces rápidos

Neo4j es un popular sistema de base de datos de grafos que incluye una interfaz ACID para el almacenamiento y análisis de grafos. Los desarrolladores de Neo4j han reconocido que cualquier versión posterior a la 4.2 incluía una versión vulnerable del paquete Log4j2 y, hasta que se haya realizado un lanzamiento completo, recomienda que se establezcan las siguientes configuraciones en "neo4j.conf":

dbms.jvm.additional=-Dlog4j2.formatMsgNoLookups=true

dbms.jvm.additional=-Dlog4j2.disable.jmx=true

En el momento de escribir esto, Censys fue capaz de identificar más de 4.000 servicios que se identifican como un servicio neo4j. A continuación se muestra un gráfico que muestra las versiones vulnerables junto con un recuento de los servicios encontrados.

¿Qué puedo hacer al respecto?

Censys sigue supervisando la situación y creando nuevas huellas digitales y riesgos para nuestros clientes de ASM a medida que llegan más informes de software vulnerable. Consulte cualquiera de las listas de componentes y aplicaciones vulnerables adaptadas a la comunidad para comprobar si algún activo es susceptible de sufrir este ataque.

Censys Los clientes de ASM ahora tienen acceso a varios riesgos que detectan software que ha sido listado como vulnerable al ataque log4j. Cualquier software a continuación incluye un rango de versiones son servicios que Censys es capaz de extraer versiones de.

  • Apache Solr: (puede detectar versiones vulnerables 7.4.0 - 7.7.38.0.0 - 8.11.0
  • Aplicación de red UniFi: (< 6.5.54< 6.3.51< 6.2.26< 6.1.71< 6.0.45< 5.14.25, ` < 5.13.33`, < 5.12.72< 5.11.52< 5.10.27< 5.9.33< 5.8.30< 5.7.28< 5.6.42
  • Metabase< 1.40.7< 1.39.7< 1.38.6< 0.41.4< 0.40.7< 0.39.7< 0.38.6
  • PagerDuty Rundeck: < 3.4.7
  • Neo4j>= 4.2
  • Horizonte VMWare
  • Servidor VMWare VCenter
  • VMWare Site Recovery Manager
  • Druida apache
  • Apache Flink
  • Seguridad del correo electrónico Sonicwall
  • Solarwinds
  • Tableau Server
  • Graylog
  • Motor de streaming Wowza
  • Apache OpenShift
  • Cloudera Ambari
  • Apache James
  • Control Connectwise
  • Cloudera Jetty
  • Avaya
  • Coyote Apache
  • CPanel
  • Elasticsearch
  • Cisco IMC
  • JAMF
  • RedHat JBOSS

Referencias

UniFi 6.x URI a mapeos de versión

URI Versión
/manage/angular/g4a47a06 6.0.41.0
/manage/angular/g438457d 6.0.23.0
/manage/angular/gcf519ebb9 6.5.54.0
/manage/angular/g7989b19 5.13.29.0
/manage/angular/gf2f1a60 6.0.43.0
/manage/angular/g6a7f21d 6.0.22.0
/manage/angular/gbf6d377 6.0.36.0
/manage/angular/gb022025 5.14.22.0
/manage/angular/gcc0bcf720 6.5.51.0
/manage/angular/g20ab6be 6.0.28.0
/manage/angular/g61b7dd794 6.5.52.0
/manage/angular/gf3b4dc4 5.14.23.0
/manage/angular/ga88c834 5.13.32.0
/manage/angular/ga96206ecf 6.2.25.0
/manage/angular/g57548a154 6.0.45.0
/manage/angular/gfb0d849a1 6.1.71.0
/manage/angular/g5444e99cd 6.2.26.0
/manage/angular/g9c8f4ab88 6.4.54.0
/manage/angular/g2e6f199fa 6.5.53.0
/manage/angular/g61b7dd794 6.5.52.0
/manage/angular/g6a7f21d 6.0.22.0
/manage/angular/ga94ebb3 6.0.20.0
/manage/angular/g7109cc6f6 6.2.23.0
/manage/angular/g527aa123f 6.2.17.0
/manage/angular/ge08fb9372 6.1.67.0
/manage/angular/g336c97bfb 6.5.50.0
/manage/angular/gfaf0cbe4b 6.5.45.0
/manage/angular/gcd8182f89 6.4.47.0
/manage/angular/gf82b22e 6.0.24.0
/manage/angular/g1bfe798f1 6.1.70.0

Sobre el autor

Mark Ellzey
Senior Security Researcher Todos los puestos de Mark Ellzey
Mark Ellzey es investigador principal de seguridad en Censys. Antes de ocupar su puesto actual, Mark ha trabajado como ingeniero de seguridad de redes y desarrollador de software para varios proveedores de servicios de Internet e instituciones financieras durante más de 22 años.
Soluciones de gestión de la superficie de ataque
Más información