Alertas de seguridad – Diciembre 2021

Alertas de seguridad – Diciembre 2021

Graves vulnerabilidades en el plugin “All in One SEO” de WordPress

Se han detectado dos vulnerabilidades críticas en el popular plugin “All in One SEO”, utilizado por más de 3 millones de sitios web para mejorar el posicionamiento en motores de búsqueda. Una de las vulnerabilidades (CVE-2021-25036) podría permitir que un usuario con el rol de suscriptor adquiera privilegios elevados, mientras que la otra (CVE-2021-25037) abriría la puerta a las bases de datos con información privada.

Recursos afectados:

  • Versiones 4.0.0 a 4.1.5.2 de All in One SEO

Solución:

Para solucionar el problema, es necesario instalar la versión 4.1.5.3. Además, se recomienda mantener todos los plugins actualizados para evitar posibles riegos de seguridad.

 

Actualización – Vulnerabilidad Apache LOG4J

Se ha detectado una nueva de tipología de denegación de servicio (DoS), recogida como CVE-2021-45105, por lo que se recomienda instalar de nuevo parches. En este caso es necesario actualizar a la versión 2.17.

Se recomienda instalar la última versión disponible para evitar problemas de seguridad. Este parche ya está disponible y permite que las cadenas de búsqueda en la configuración se expandan de forma recursiva.

 

Nueva vulnerabilidad crítica asociada a Apache LOG4J

Se ha detectado una nueva vulnerabilidad (CVE-2021-45046) asociada a Apache Log4j 2 que afecta a la versión 2.15. Esta versión fue propuesta, a principios de esta semana, como actualización para resolver la explotación, sin embargo, existe la versión 2.16, por lo que es recomendable actualizar a esta última.

Además, es recomendable revisar las posibles tareas programadas (crontab en sistemas Linux) para verificar que no se ha establecido persistencia alguna, fruto de la explotación de este fallo.

Sobre la vulnerabilidad inicial de Log4j, al aplicarse el cambio en la configuración, se puede ver afectado Neo4j. Para mitigar esta acción, la configuración de Neo4j debe ser:

dbms.jvm.additional=-Dlog4j2.formatMsgNoLookups=true

dbms.jvm.additional=-Dlog4j2.disable.jmx=true

 

Grave vulnerabilidad en Apache Log4j 2

Se ha detectado una vulnerabilidad que afecta a la librería de registro de Java Apache Log4j 2 (CVE-2021-44228), denominada Log4Shell o LogJam. Este fallo, que aprovecha una validación de entrada incorrecta al procesar solicitudes LDAP, podría permitir la ejecución remota de código (RCE), haciéndose cargo del servidor, por lo que se compromete por completo la confidencialidad e integridad de los datos, así como la disponibilidad del sistema.

Log4j 2 se usa en muchas aplicaciones y está presente, como dependencia, en muchos servicios, incluyendo aplicaciones empresariales y servicios en la nube como Steam o Apple iCloud. Además, la librería Log4j 2 se utiliza con frecuentemente en el software empresarial Java. Por todo ello, se prevé que se descubran más productos vulnerables en las próximas semanas.

Recursos afectados:     

La vulnerabilidad reportada afecta a Apache Log4 desde la versión 2.0 hasta la versión 2.14.1.

Solución:

Apache ha lanzado la versión Log4j 2.15.0 para resolver el fallo. Se recomienda encarecidamente aplicar los parches de seguridad lo antes posible. Podrás encontrar más información sobre la instalación de las actualizaciones y las distintas extensiones en este enlace.

La vulnerabilidad también se puede mitigar en versiones anteriores (solo versión 2.10 y posteriores) estableciendo la propiedad del sistema «log4j2.formatMsgNoLookups» en «true» o eliminando la clase JndiLookup del classpath.

Si se está utilizando una versión anterior a la 2.10.0 y no se puede actualizar, existen dos opciones de mitigación:

  • Modificar el diseño de cada patrón de registro para cambiar %m{nolookups} por %m en los archivos de configuración de registro.
  • Sustituir una implementación vacía o no vulnerable de la clase logging.log4j.core.lookup.JndiLookup, de manera que su cargador de clases use el reemplazo en lugar de la versión vulnerable de la clase.

Nuevas recomendaciones:

  • Revisar si se está usando log4j:
    • PowerShell

– gci ‘C:\’ -rec -force -include *.jar -ea 0 | foreach {select-string «JndiLookup.class» $_} | select -exp Path

    • Linux

– find / 2>/dev/null -regex «.*.jar» -type f | xargs -I{} grep JndiLookup.class «{}»

    • Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar a True.
    • Revisar aplicaciones de Java
  • Revisar si ha habido un aumento de conexiones DNS: los intentos durante el fin de semana se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS, durante el pasado fin de semana, puede ser indicativo de explotación exitosa.
  • Revisar en logs los siguientes IOC. En caso de sospechas, revisar los logs de las aplicaciones para buscar “jndi”. Se pueden apoyar en los siguientes scripts.
  • Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.

 

0/5 (0 Reviews)
Facebooktwitterpinterestlinkedinby feather