Buscar

Idioma

Monitoreo de exploits Log4j2 con Silverfort

12th diciembre, 2021

Inicio » Blog » Monitoreo de exploits Log4j2 con Silverfort

Apache Log4j es una utilidad de registro de código abierto basada en Java ampliamente utilizada por aplicaciones empresariales. La comunidad de seguridad descubrió recientemente una nueva vulnerabilidad de Log4jl (CVE-2021-44228) que permite a un atacante remoto que controla los campos de registro en algunas aplicaciones explotar Log4j para ejecutar código de forma remota en una aplicación de destino. Por ejemplo, un atacante puede hacer que una aplicación registre un campo que contenga una cadena con el formato ${jndi: }. Si el atacante hace que la aplicación registre una cadena con el formato ${jndi: }, la aplicación se comunicará con la URL ldap://example.com/a para cargar un objeto. Si el hacker controla example.com, el atacante puede utilizar esta vulnerabilidad para cargar un objeto de su elección en la memoria de la aplicación.

Esta vulnerabilidad se ha comparado con HeartBleed y ShellShock debido a su amplio impacto. La mayoría de las aplicaciones que utilizan Java utilizan log4j2 para iniciar sesión, por lo que una amplia gama de aplicaciones y sistemas de su entorno pueden verse afectados. Hay múltiples informes sobre el uso masivo de esta vulnerabilidad en la naturaleza, así como un número cada vez mayor de variantes de exploits; más de 60 de los cuales aparecieron dentro de las 24 horas posteriores a la divulgación inicial de la vulnerabilidad.

Silverfort revisó su código y no encontró ningún uso vulnerable de log4j2 por parte del producto.

Según la  CloudFlare, la vulnerabilidad ya se está explotando de forma natural y los atacantes suelen utilizar el campo de nombre de usuario para explotar esta vulnerabilidad. Esto tiene sentido porque el campo de nombre de usuario a menudo se registra por errores autenticación peticiones.

Silverfort monitorea todas las solicitudes de autenticación en el entorno y se puede utilizar para auditar estos exploits de Log4Shell al informar sobre el uso de la cadena "${jndi:" en las solicitudes de autenticación. Se recomienda a los equipos de seguridad que actualicen su software lo antes posible y que comprueben si sus servidores vulnerables podrían haber sido comprometidos antes del parche.

¿Preguntas? Fueron siempre esta página para ti. prueba

¿Listo para una demostración?
Regístrate hoy.

Mensajes recientes

Puede 2nd, 2024

Silverfort Presentará una investigación en RSA 2024: uso de MITM para omitir los métodos de autenticación modernos a SSO

24 de abril de 2024

Cinco formas de mejorar la higiene de su AD con Silverfort  

Marzo 26th, 2024

The Identity Underground Report: visión profunda de las brechas de seguridad de identidad más críticas  

Marzo 2nd, 2024

Protección MFA para redes aisladas
Ver más

Síguenos en:

Detenga las amenazas a la identidad ahora