Elastic anuncia nuevas versiones de Elasticsearch y Logstash, 7.16.2 y 6.8.22, para actualizar a la última versión de Apache Log4j y abordar las preocupaciones de falsos positivos con algunos escáneres de vulnerabilidades. Elastic también mantiene actualizaciones continuas a través de nuestro aviso para garantizar que nuestros clientes de Elastic y nuestras comunidades puedan mantenerse al día sobre los últimos desarrollos.

El 10 de diciembre comenzó con la divulgación pública de la vulnerabilidad Apache Log4j, CVE-2021-44228, que afecta al popular marco de registro de código abierto adoptado por varias aplicaciones comerciales y personalizadas basadas en Java. Esta vulnerabilidad, que afecta a las versiones 2.0-beta9 a 2.14.1 de Log4j2, ya está siendo explotada por atacantes de estados nacionales y grupos de ransomware, como APT35 y Hafnium. La investigación de Google que utiliza Open Source Insights estima que más de 35.000 paquetes (más del 8% del repositorio de Maven Central) se han visto afectados por las vulnerabilidades reveladas recientemente, hasta el 16 de diciembre.

Apache Log4j lanzó una solución a esta vulnerabilidad inicial en Log4j versión 2.15.0. Sin embargo, la solución fue incompleta y resultó en una posible vulnerabilidad de exfiltración de datos y DoS, registrada como CVE-2021-45046 . Esta nueva vulnerabilidad se corrigió en Log4j2 versión 2.16.0. Sin embargo, la propia versión 2.16.0 también resultó vulnerable a otra vulnerabilidad DoS, lo que dio lugar a un nuevo CVE-2021-45105 y al eventual lanzamiento de Apache Log4j2 versión 2.17.0.

En la publicación de asesoramiento , se identifico varias mitigaciones que son efectivas en las versiones de Elasticsearch y Logstash incluso cuando se usa una versión vulnerable de Log4j. Elasticsearch y Logstash versiones 7.16.1 y 6.8.21 también mitigan completamente CVE-2021-44228 y CVE-2021-45046. A pesar de que estas versiones brindan protección completa contra todos los CVE conocidos, pueden desencadenar alertas de falsos positivos en los escáneres de vulnerabilidades que solo miran la versión de la dependencia Log4j. Entendemos que, si bien eso puede no generar riesgos, algunas implementaciones y clientes aún pueden estar preocupados por las implicaciones de cumplimiento.

La disponibilidad de nuevas versiones de Elasticsearch y Logstash, 7.16.2 y 6.8.22 respectivamente, que actualizan Apache Log4j2 a la versión 2.17.0. También retenemos las mitigaciones entregadas en 7.16.1 y 6.8.21. La suma de las mitigaciones contra las mitigaciones Log4j entregadas en 7.16.2 y 6.8.22 incluye:

1. Log4j actualizado a la versión 2.17.0
2. La clase JndiLookup se elimina por completo para eliminar el área de superficie de ataque proporcionada por la función de búsqueda JNDI y el riesgo asociado de vulnerabilidades similares
3. log4j2.formatMsgNoLookups = true está configurado para deshabilitar una de las características vulnerables

Consulte el aviso de Elastic para mantenerse actualizado sobre lo último en todos los productos Elastic y mitigaciones relacionadas.

Si bien los sistemas de parcheo representan el mejor enfoque para adelantarse a estas vulnerabilidades, puede haber casos en los que el parche se retrase debido a dependencias o sistemas no administrados / deshonestos que acechan dentro de los entornos. Los usuarios de Elastic Security también pueden aprovechar el poder de detección y correlación de eventos, utilizando Elastic Endpoint, Auditbeat y las capacidades de búsqueda de amenazas, para identificar cualquier explotación activa de la vulnerabilidad Log4j2 en el entorno. Consulte el blog de Elastic sobre este tema para saber cómo puede ayudar Elastic.