“Log4Shell” Vulnerabilidad de Apache: Lo Que Los Clientes de Kiteworks Necesitan Saber

En seguimiento a nuestras alertas recientes a los clientes de Kiteworks, se han descubierto tres vulnerabilidades en la biblioteca de registro de código abierto basada en Java de Apache Log4j. Estas vulnerabilidades (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) se conocen colectivamente como Log4Shell o LogJam. Similar a exploits pasados como Shellshock o Heartbleed, Log4Shell es una falla de seguridad explotable remotamente que puede permitir la toma de control completa del sistema sin requerir autenticación.

¿Qué Riesgos Generales Plantea Log4Shell?

La primera vulnerabilidad fue reportada a Apache por el equipo de seguridad de Alibaba Cloud el 24 de noviembre de 2021. CVE-2021-44228 es una vulnerabilidad crítica que afecta las configuraciones predeterminadas de múltiples marcos de Apache, incluyendo Apache Struts2, Apache Solr, Apache Druid, Apache Flink, entre otros.

Como se ha señalado en la prensa, esta biblioteca es ampliamente utilizada por software empresarial, aplicaciones web y productos de Apple, Amazon, Cloudflare, Twitter, Steam, entre muchos otros, exponiendo tanto a usuarios domésticos como a empresas a ataques continuos de ejecución remota de código. Al igual que con los exploits Shellshock y Heartbleed, los expertos predicen un aumento en el número de productos vulnerables que se descubrirán en las próximas semanas.

Los exploits de prueba de concepto (POC) se están compartiendo en línea, y los actores de amenazas ya han comenzado a distribuir malware que escanea servidores vulnerables. Poco después de la divulgación inicial de la vulnerabilidad de día cero y el lanzamiento del parche, se descubrieron y parchearon dos vulnerabilidades adicionales de Log4j: CVE-2021-45046 el 14 de diciembre y CVE-2021-45105 (que es un problema de denegación de servicio [DoS]) el 18 de diciembre.

¿Cómo Impacta Esto a los Clientes de Kiteworks?

Aunque la reciente versión de otoño de 2021 de Kiteworks (7.6) incluye la biblioteca de Apache afectada, nuestras pruebas no han mostrado signos de exposición a ninguna de estas vulnerabilidades. Intentamos varios de los ataques POC disponibles públicamente sin indicios de explotación en la plataforma Kiteworks. Por lo tanto, actualmente no consideramos esto como una vulnerabilidad P0 en nuestros sistemas y no tenemos indicios de que Log4Shell haya sido explotado en nuestros sistemas. Además, la protección multinivel de Kiteworks incluye archivos que están cifrados individualmente, lo que significa que no están expuestos a este tipo de vulnerabilidades.

Instala el Parche de Seguridad Kiteworks 7.6.2

Como precaución, Kiteworks lanzó una actualización de software 7.6.2 para abordar estas vulnerabilidades. Esta versión del parche añade la mitigación para CVE-2021-44228, CVE-2021-45046 y CVE-2021-45105 contenida en el paquete Solr, según lo recomendado por el grupo Apache Solr. Específicamente, actualiza la biblioteca Log4j a una versión no vulnerable en sistemas CentOS 7 y añade la opción recomendada “$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true” para deshabilitar el posible vector de ataque tanto en CentOS 6 como en CentOS 7.

Continuamos monitoreando proactivamente estas vulnerabilidades para determinar si ocurren permutaciones en el vector de amenaza que cambien la evaluación anterior. Si tienes alguna pregunta o problema con respecto a Log4Shell o el parche 7.6.2, por favor contacta a Soporte de Kiteworks.