by ffclavis
Bookmark

Patch de correção do Log4J 0-day possui vulnerabilidade explorável

Na última quinta-feira, o mundo ficou sabendo de uma exploração in-the-wild de uma execução crítica de código zero-day no Log4J, um utilitário de registro usado por quase todos os serviços de nuvem e redes corporativas do planeta. Os desenvolvedores de código aberto rapidamente lançaram uma atualização que corrigiu a falha e instou todos os usuários a instalá-la imediatamente.

Na última quinta-feira, o mundo ficou sabendo de uma exploração in-the-wild de uma execução crítica de código Zero-day no Log4J, um utilitário de registro usado por quase todos os serviços de nuvem e redes corporativas do planeta. Os desenvolvedores de código aberto rapidamente lançaram uma atualização que corrigiu a falha e instou todos os usuários a instalá-la imediatamente.

Agora, os pesquisadores estão relatando que há pelo menos duas vulnerabilidades no patch, lançado como Log4J 2.15.0, e que os invasores estão explorando ativamente um ou ambos contra alvos do mundo real, que já aplicaram a atualização. Os pesquisadores estão pedindo às organizações que instalem um novo patch, lançado como versão 2.16.0, o mais rápido possível para corrigir a vulnerabilidade, que é rastreada como CVE-2021-45046.

A correção anterior, disseram os pesquisadores na terça-feira, “estava incompleta em certas configurações não padrão” e possibilitou que os invasores executassem ataques de negação de serviço, que normalmente tornam mais fácil colocar serviços vulneráveis ​​totalmente offline até que as vítimas reiniciem seus servidores ou realizem outras ações. A versão 2.16.0 “corrige esse problema removendo o suporte para padrões de pesquisa de mensagens e desabilitando a funcionalidade JNDI por padrão”, de acordo com o aviso de vulnerabilidade com link acima.

Na quarta-feira, pesquisadores da empresa de segurança Praetorian disseram que há uma vulnerabilidade ainda mais séria no 2.15.0 – uma falha de divulgação de informações que pode ser usada para baixar dados de servidores afetados.

“Em nossa pesquisa, demonstramos que o 2.15.0 ainda pode permitir a exfiltração de dados confidenciais em certas circunstâncias”, escreveu o pesquisador Pretoriano Nathan Sportsman. “Passamos os detalhes técnicos do problema para a Fundação Apache, mas nesse ínterim, recomendamos fortemente que os clientes atualizem para 2.16.0 o mais rápido possível.”

Na última quinta-feira, o mundo ficou sabendo de uma exploração in-the-wild de uma execução crítica de código zero-day no Log4J, um utilitário de registro usado por quase todos os serviços de nuvem e redes corporativas do planeta. Os desenvolvedores de código aberto rapidamente lançaram uma atualização que corrigiu a falha e instou todos os usuários a instalá-la imediatamente.

Os pesquisadores lançaram um vídeo que mostra sua exploração de prova de conceito em ação clique aqui para assistir.

Pesquisadores da rede de distribuição de conteúdo Cloudflare, por sua vez, disseram na quarta-feira que o CVE-2021-45046 está agora sob exploração ativa. A empresa pediu às pessoas que atualizassem para a versão 2.16.0 o mais rápido possível.

A postagem do Cloudflare não disse se os invasores estão usando a vulnerabilidade apenas para realizar ataques DoS ou se também a estão explorando para roubar dados. Os pesquisadores da Cloudflare não estavam imediatamente disponíveis para esclarecer. Pesquisadores pretorianos também não estavam imediatamente disponíveis para dizer se estavam cientes de ataques in-the-wild explorando a falha de exfiltração de dados. Eles também não forneceram detalhes adicionais sobre a vulnerabilidade porque não queriam fornecer informações que tornariam mais fácil para os hackers explorá-la.

Fonte: arstechnica.com

Posts relacionados: Pesquisadores compilam lista de vulnerabilidades mais usadas por gangues de ransomware / CISA oferece nova mitigação para bug PrintNightmare e Novo malware de Android pode obter acesso root à smartphones