Skip to content Skip to footer

Gestionando la vulnerabilidad Log4Shell

El viernes 10 de diciembre se hizo pública una vulnerabilidad a nivel mundial que afecta a la librería de registro Java apache Log4 j 2 previas a la versión 2.15.0. Este software de código abierto basado en Java se emplea en una gran cantidad de servicios y productos informáticos que usan ese lenguaje de programación.

INCIBE ha hecho público una lista de recursos que utilizan la librería Log4j2 y que están afectados, entre ellos están nuestras soluciones OpenNAC Enterprise y EMMA.

Los componentes de estas soluciones que están afectados son “Analytics” de OpenNAC Enterprise y CMI del módulo 2SRA / EMMA-VAR que utilizan componentes del stack ELK afectados por esta vulnerabilidad. De acuerdo con el fabricante:

  • Elastic Search: Está afectado por la vulnerabilidad, pero la ejecución de código remoto está resuelta debido al uso de “Java Security Manager”. No obstante, se ve afectado por posibles fugas de información vía DNS, la cual se puede solucionar mediante un cambio en la configuración.
  • Logstash: Este componente está afectado por la vulnerabilidad que permite la ejecución de código remoto y se deben aplicar medidas correctivas para su resolución.

Realizadas las pruebas por nuestro equipo para estimar la probabilidad de daño y habiendo observado los potenciales impactos, determinamos que, con la configuración que desde Open Cloud Factory realizamos a los componentes anteriores, estas vulnerabilidades son de muy difícil explotación. Desde Open Cloud Factory facilitamos un procedimiento para eliminar la librería afectada por la misma, ya que no es necesaria para el correcto funcionamiento de las soluciones.

A continuación, se puede ver el procedimiento a realizar para eliminar la vulnerabilidad:

Elastic Search:

  • Añadir la configuración “-Dlog4j2.formatMsgNoLookups=true” al fichero de configuración “/etc/elasticsearch/jvm.options”
  • Reiniciar el servicio: systemctl restart elasticsearch

Logstash:

  • Eliminar la clase afectada con el siguiente comando: “zip -q -d /usr/share/logstash/logstash-core/lib/jars/log4j-core-2.* org/apache/logging/log4j/core/lookup/JndiLookup.class”.
  • Reiniciar el servicio: systemctl restart logstash.

Si eres cliente y quieres solicitar apoyo con esta vulnerabilidad y otras que puedan surgir está disponible la siguiente dirección de email: support@opencloudfactory.com.

Por último, el Centro Criptológico Nacional (CCN-CERT) está realizando un profundo seguimiento de la vulnerabilidad aportando recomendaciones y todas las novedades que surgen en cada momento y que puede ser seguido a en su web. Además, de esta vulnerabilidad, el CCN – CERT da seguimiento a todas las novedades sobre vulnerabilidades que suceden disponible en el enlace. Desde Open Cloud Factory seguirmos informando del curso de los acontecimientos en nuestra firme apuesta por la transparencia y el apoyo con nuestros clientes.

Leave a comment