¿Qué es la vulnerabilidad de Apache Log4j y cómo afecta a Citrix, VMware y Atlassian?

Citrix

Si eres usuario de Citrix, VMware o Atlassian, es posible que hayas escuchado sobre una vulnerabilidad crítica que afecta a la biblioteca Apache Log4j, utilizada por millones de aplicaciones Java para registrar mensajes de error. Esta vulnerabilidad, identificada como CVE-2021-44228 y con una puntuación CVSS de 10 de 10, se considera de alta severidad debido a que podría permitir la ejecución de código remoto y omitiendo además cualquier tipo de autenticación.

La vulnerabilidad, también conocida como Log4Shell, se debe a que la biblioteca Apache Log4j no filtra adecuadamente las entradas que contienen el patrón ${jndi:ldap://...}, lo que permite a un atacante enviar una cadena maliciosa que puede ejecutar comandos arbitrarios en el sistema afectado. Esto significa que un atacante podría aprovechar esta vulnerabilidad para tomar el control de los servidores, robar información sensible, instalar malware, realizar ataques de denegación de servicio, entre otras acciones maliciosas.

La vulnerabilidad fue descubierta el 9 de diciembre de 2021 por el investigador de seguridad Chen Zhaojun, quien la reportó al equipo de Apache Log4j. El mismo día, el equipo publicó una versión parcheada (2.15.0) que soluciona el problema al deshabilitar el soporte para el patrón ${jndi:...} por defecto. Sin embargo, esta solución no es suficiente, ya que existen otras formas de explotar la vulnerabilidad, como el uso de otros protocolos (como rmi, http, https, etc.) o el uso de variables de entorno. Por ello, el equipo de Apache Log4j publicó una nueva versión (2.16.0) el 13 de diciembre de 2021, que deshabilita el soporte para todas las expresiones de sustitución de variables.

La vulnerabilidad ha causado un gran impacto en el mundo de la ciberseguridad, ya que afecta a una gran cantidad de productos, aplicaciones y servicios que utilizan la biblioteca Apache Log4j. Entre ellos, se encuentran Citrix, VMware y Atlassian, tres empresas líderes en el sector de la tecnología y la innovación. A continuación, te explicamos cómo afecta la vulnerabilidad a cada una de ellas y qué medidas debes tomar para protegerte.

Citrix es una empresa que ofrece soluciones de virtualización, redes, nube y espacios de trabajo digitales. Entre sus productos más populares se encuentran Citrix ADC (anteriormente Citrix NetScaler) y Citrix Gateway (anteriormente Citrix NetScaler Gateway), que son dispositivos de entrega de aplicaciones que proporcionan funciones de equilibrio de carga, optimización, seguridad y acceso remoto.

Citrix ha advertido de que dos de sus productos, Citrix ADC y Citrix Gateway, son vulnerables a la vulnerabilidad de Apache Log4j. Estos productos utilizan la biblioteca Apache Log4j en su interfaz de gestión, que es accesible a través de las direcciones IP NSIP, CLIP o SNIP. La vulnerabilidad podría permitir a un atacante autenticado (con privilegios bajos) ejecutar código remoto en la interfaz de gestión o causar una denegación de servicio.

Citrix ha asignado las siguientes identificaciones a las vulnerabilidades:

CVE-2023-6548: Ejecución remota de código en la interfaz de gestión (requiere acceso a NSIP, CLIP o SNIP con acceso a la interfaz de gestión)
CVE-2023-6549: Denegación de servicio (requiere que el dispositivo esté configurado como un servidor virtual de Gateway o de autorización y contabilidad, o AAA)

Las siguientes versiones de Citrix ADC y Citrix Gateway son vulnerables:

Citrix ADC y Citrix Gateway 14.1 antes de 14.1-12.35
Citrix ADC y Citrix Gateway 13.1 antes de 13.1-51.15
Citrix ADC y Citrix Gateway 13.0 antes de 13.0-92.21
Citrix ADC y Citrix Gateway versión 12.1 (actualmente fuera de soporte)
Citrix ADC 13.1-FIPS antes de 13.1-37.176
Citrix ADC 12.1-FIPS antes de 12.1-55.302
Citrix ADC 12.1-NDcPP antes de 12.1-55.302

Citrix ha confirmado que se han observado explotaciones de estas vulnerabilidades en dispositivos no mitigados. Por ello, recomienda a los usuarios de Citrix ADC y Citrix Gateway versión 12.1 que actualicen sus dispositivos a una versión soportada que solucione las vulnerabilidades. También recomienda no exponer la interfaz de gestión a internet para reducir el riesgo de explotación.

VMware

VMware es una empresa que ofrece soluciones de virtualización, nube, seguridad y espacio de trabajo digital. Entre sus productos más populares se encuentran VMware ESXi, VMware vSphere, VMware vCenter, VMware Cloud Foundation y VMware Aria Automation (anteriormente VMware vRealize Automation).

VMware ha alertado a sus clientes de una vulnerabilidad crítica en VMware Aria Automation, que es una solución de automatización de infraestructura y aplicaciones. Esta vulnerabilidad podría permitir a un atacante autenticado obtener acceso no autorizado a organizaciones y flujos de trabajo remotos.

La vulnerabilidad ha sido identificada como CVE-2023-34063 y tiene una puntuación CVSS de 9.9. VMware la ha descrito como una vulnerabilidad de “control de acceso faltante”. El equipo de plataformas de computación científica de la Organización de Investigación Científica e Industrial del Commonwealth (CSIRO) ha sido acreditado por descubrir y reportar la vulnerabilidad.

Las versiones afectadas por la vulnerabilidad son las siguientes:

VMware Aria Automation 8.11.x, 8.12.x, 8.13.x y 8.14.x
VMware Cloud Foundation 4.x y 5.x

VMware ha publicado un parche que soluciona la vulnerabilidad y recomienda a los usuarios de VMware Aria Automation que lo apliquen lo antes posible. También advierte que el único camino de actualización soportado después de aplicar el parche es a la versión 8.16. Si se actualiza a una versión intermedia, la vulnerabilidad se reintroducirá, requiriendo una ronda adicional de parcheo.

Atlassian

Atlassian es una empresa que ofrece soluciones de colaboración, desarrollo y gestión de proyectos. Entre sus productos más populares se encuentran Jira, Confluence, Bitbucket, Trello y Bamboo.

Atlassian ha informado de que varios de sus productos son vulnerables a la vulnerabilidad de Apache Log4j. Estos productos utilizan la biblioteca Apache Log4j para registrar mensajes de error y eventos. La vulnerabilidad podría permitir a un atacante ejecutar código remoto en los sistemas afectados.

Atlassian ha asignado las siguientes identificaciones a las vulnerabilidades:

CVE-2021-44228: Ejecución remota de código en Apache Log4j
CVE-2021-45046: Ejecución remota de código en Apache Log4j (bypass de mitigación)
CVE-2021-45105: Ejecución remota de código en Apache Log4j (bypass de mitigación)

Los productos afectados por la vulnerabilidad son los siguientes:

Jira Core, Jira Software y Jira Service Management 7.0.0 – 8.19.0
Confluence Server y Data Center 6.0.0 – 7.13.0
Bitbucket Server y Data Center 4.0.0 – 7.19.0
Bamboo Server 5.9.0 – 8.1.0
Crowd Server y Data Center 2.8.0 – 4.4.0
Fisheye y Crucible 3.5.0 – 4.9.0

Atlassian ha publicado versiones parcheadas que solucionan la vulnerabilidad y recomienda a los usuarios de sus productos que actualicen a las versiones más recientes lo antes posible. También ofrece algunas medidas de mitigación temporal, como deshabilitar el registro de eventos, aplicar filtros de entrada o configurar variables de entorno.

Conclusión

La vulnerabilidad de Apache Log4j es una amenaza seria que afecta a una gran cantidad de productos, aplicaciones y servicios que utilizan la biblioteca Apache Log4j. Es importante estar al tanto de las actualizaciones de seguridad y aplicarlas lo antes posible para evitar posibles ataques. También es recomendable seguir las mejores prácticas de seguridad, como el uso de contraseñas fuertes, el cifrado de datos, el respaldo de información, etc.

Citrix

VMware

Atlassian

Conclusión

Artículos relacionados

Avast es multado con 15.5 millones por su software de privacidad que vendía datos de sus susuarios.

AnyDesk sufre un ciberataque que compromete su código fuente y sus claves de firma

Ciberseguridad 2024: Los principales retos para las empresas de América Latina