Boletín de Seguridad: Análisis de Vulnerabilidades – DDC/AD
Respuesta de CertiSur a vulnerabilidad Log4j
CVE-2021-44228
Descripción / Impacto
La amenaza, también denominada Log4Shell o LogJam, es una vulnerabilidad de clase de ejecución remota de código (RCE). Si un atacante logra explotarlo en un servidor vulnerable, obtiene la capacidad de ejecutar código arbitrario y, potencialmente, tomar el control total del sistema.
Puede encontrar una descripción más amplia del problema en: https://www.lunasec.io/docs/blog/log4j-zero-day/
Versiones del producto
Este análisis cubre dos productos diferentes: Alison-Desktop y DigiCert Desktop Client. Hemos evaluado las últimas versiones más distribuidas de ambos productos.
Vulnerabilidad CVE-2021-44228
AD y DDC usan log4j versión 1.x. Esta versión todavía está muy extendida, quizás varias veces más que la versión 2.x.
log4j 1.x no ofrece un mecanismo de búsqueda JNDI a nivel de mensaje, no sufre de CVE-2021-44228.
Otra vulnerabilidad relacionada
- CVE-2021-4104 https://access.redhat.com/security/cve/CVE-2021-4104
Hicimos un análisis adicional en esta bifurcación y confirmamos una vulnerabilidad nueva pero similar que solo puede ser explotada por una parte confiable. Esa vulnerabilidad, relacionada con JMSAppender, debería requerir algunas condiciones especiales para ser aprovechada en cualquier aplicación. Específicamente, cualquier producto que use Log4j 1.x solo se ve afectado si todas las siguientes configuraciones no predeterminadas están en su lugar:
- El JMS Appender está configurado en la configuración de Log4j de la aplicación
- La API javax.jms está incluida en el CLASSPATH de la aplicación
- JMS Appender se ha configurado con una búsqueda JNDI para un tercero. Nota: esto solo lo puede hacer un usuario de confianza que modifique la configuración de la aplicación, o un código de confianza que establezca una propiedad en tiempo de ejecución.
AD y DDC no usan un archivo de configuración Log4j de una aplicación externa para ser modificado por una aplicación externa que envenena, y la configuración predeterminada no habilita JMSAppender.
Acción recomendada
Las versiones anteriores o Release Candidate de DigiCert Desktop Client (DDC) y Alison Desktop (AD) podrían incluir el paquete log4j en su distribución, pero gracias a la versión de la máquina virtual Java integrada en los productos mencionados y su configuración, la explotación de este la vulnerabilidad no se puede lograr. No obstante, y ante cualquier duda, recomendamos la actualización a las últimas versiones de DigiCert Desktop Client y Alison Desktop en cualquier sucursal que esté utilizando.
Puede ponerse en contacto con el soporte de CertiSur utilizando nuestros métodos estándar:
Correo electrónico: support@certisur.com
Teléfono: https://www.certisur.com/contactanos/
© Copyright 2021 CertiSur S.A. Todos los derechos reservados.
CertiSur es una marca o una marca registrada de CertiSur S. A. en Argentina y ciertos países. Todos los demás nombres y logotipos de empresas y productos son marcas comerciales o marcas comerciales registradas de sus respectivos propietarios en determinados países.
Dada la naturaleza misma de las vulnerabilidades de seguridad, los boletines de seguridad están destinados a ser reservados a un pequeño grupo de personas. Los boletines de seguridad deben distribuirse dentro de su empresa únicamente, y solo cuando sea necesario.
La información se proporciona “tal cual” por CertiSur sin ninguna representación, condición y/o garantía de ningún tipo, ya sea expresa, implícita, estatutaria, por uso comercial o de otro tipo. CertiSur renuncia específicamente a todas y cada una de las representaciones, condiciones y/o garantías de comerciabilidad, calidad satisfactoria y/o idoneidad para un propósito particular. En la medida máxima permitida por la ley aplicable, en ningún caso CertiSur será responsable de ningún daño, pérdida o costo que surja de las acciones u omisiones de usted o de terceros en relación con este boletín. Las únicas representaciones, condiciones y/o garantías que pueden ser aplicables a cualquier producto de CertiSur que pueda tener son las contenidas en el acuerdo en virtud del cual obtuvo una licencia para esos productos de CertiSur.