Descubren un nuevo vector de ataque para Log4j

Paralelamente, la Fundación Apache ha publicado un nuevo parche contra la vulnerabilidad de fondo.

Investigadores de la empresa de seguridad informática Blumira Inc. han descubierto un nuevo vector de ataque que explota la vulnerabilidad de Log4j. El nuevo vector de ataque se basa en una conexión Javascript WebSocket para activar una ejecución remota de código en aplicaciones Log4j internas y expuestas localmente carentes de parches.

Hasta ahora, las formas de explotar Log4j han sido a través de servidores vulnerables. Sin embargo, este vector de ataque difiere en que la vulnerabilidad puede ser activada por cualquier persona que navegue por un sitio web maligno mediante una máquina que contenga una versión vulnerable de Log4j.

El vector de ataque amplía significativamente la superficie de ataque con la capacidad de activar la vulnerabilidad a través de un sitio web malicioso. El vector de ataque puede afectar a los servicios que se ejecutan incluso como localhost, que no estaban expuestos a ninguna red.

Los investigadores señalaron que aunque no hay pruebas de explotación activa, el cliente generalmente no tiene control directo sobre las conexiones WebSocket, que pueden iniciarse silenciosamente cuando se carga una página web. Asimismo, resulta difícil obtener una visibilidad profunda de las conexiones WebSockets, lo que aumenta la complejidad de la detección de este ataque.

Por su parte, Apache Foundation ha publicado un tercer parche para solucionar la vulnerabilidad de Log4j, denominado 2.17.0. Según Apache, el parche soluciona los problemas de la versión 2.16.0 que no protegía de la recursividad incontrolada de las búsquedas autorreferenciales. Como resultado, el parche no protegía de CVE-2021-45105, una vulnerabilidad de denegación de servicio de Log4j.



Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022