La vulnerabilidad CVE-2021-44228, conocida como Log4Shell, es actualmente una de las mayores preocupaciones en el ámbito de la ciberseguridad, con una criticidad máxima de 10 en la escala CVSS. Como parte de las actualizaciones de software provistas por Apache Software Foundation, fueron introducidas dos nuevas vulnerabilidades con los identificadores CVE-2021-45046 y CVE-2021-45105. Adicionalmente se dio a conocer otra vulnerabiliad (CVE-2021-4104) que afecta a Log4j 1.2.

Productos afectados:
Para CVE-2021-45046 (Apache Log4j 2.0 beta 9 a 2.12.1 y 2.13.0 a 2.15.0)
Para CVE-2021-45105 (Apache Log4j 2.0 alpha1 – 2.16.0 (excluyendo 2.12.3))
Para CVE-2021-4104 (Apache Log4j 1.2)

Descripción:

CVE-2021-45046: Severidad crítica (CVSS 9.0). Se detectó que la corrección para la vulnerabilidad CVE-2021-44228 en Apache Log4j 2.15.0 estaba incompleta en ciertas configuraciones no predeterminadas. Esto podría permitir a los atacantes controlar los datos de entrada del mapa de contexto de subprocesos (MDC) cuando la configuración de registro utiliza un diseño de patrón no predeterminado con una búsqueda de contexto o un patrón de mapa de contexto de subprocesos (%X, %mdc o %MDC) para crear datos de entrada maliciosos utilizando un patrón de búsqueda JNDI que da como resultado una fuga de información y la ejecución remota de código en algunos entornos y la ejecución de código local en todos los entornos. Log4j 2.16.0 (Java 8) y 2.12.2 (Java 7) solucionan este problema al eliminar la compatibilidad con los patrones de búsqueda de mensajes y deshabilitar la funcionalidad JNDI de forma predeterminada. Al inyectar código el atacante puede generar una denegación de servicio.

CVE-2021-45105: Severidad Alta (CVSS 7.5). Apache Log4j2 versiones 2.0-alpha1 a 2.16.0 (excluyendo 2.12.3) no protegieron de la recursividad incontrolada de búsquedas autorreferenciales. Esto permite que un atacante con control sobre los datos del MDC cause una denegación de servicio cuando se interpreta una cadena elaborada. Este problema se solucionó en Log4j 2.17.0 y 2.12.3.

CVE-2021-4104: JMSAppender en Log4j 1.2 es vulnerable a la deserialización de datos que no son de confianza cuando el atacante tiene acceso de escritura a la configuración de Log4j. El atacante puede proporcionar configuraciones TopicBindingName y TopicConnectionFactoryBindingName, lo que hace que JMSAppender realice solicitudes JNDI que dan como resultado la ejecución remota de código de manera similar a CVE-2021-44228. Este fallo solo afecta a Log4j 1.2 cuando se configura específicamente para usar JMSAppender, que no es el predeterminado.

Recomendaciones:
Se recomienda a los usuarios y administradores que apliquen de inmediato las últimas actualizaciones disponibles que corrigen las vulnerabilidades descritas, con el fin de evitar que sean comprometidos sus sistemas y servicios.
Se les recuerda que Apache Log4j 1.2 llegó al final de su vida útil en agosto de 2015. Si se emplea deben actualizar a Log4j 2, ya que resuelve muchos otros problemas de las versiones anteriores.
 

Referencias:

• https://logging.apache.org/log4j/2.x/
• https://logging.apache.org/log4j/2.x/download.html
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105
• https://nvd.nist.gov/vuln/detail/CVE-2021-45046
• https://nvd.nist.gov/vuln/detail/CVE-2021-45105