Amazon lanza hotfix para log4j en Amazon Web Service AWS

---

21/04/2022

‎Amazon ha lanzado una actualización final para subsanar cuatro vulnerabilidades relacionadas a Log4shell, que permitirían a un atacante realizar escalamiento de privilegios y ejecutar código con permisos root.

Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Alta”. Las cuales se detallan a continuación:

• CVE-2021-3100, de severidad alta, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a la falta de limitación de los permisos de la JVM (Java Virtual Machine) parchada, que permitiría a un atacante realizar escalamiento de privilegios ejecutando cualquier proceso.

• CVE-2022-0070, de severidad alta, con una puntuación asignada de 8.8. Se debe a la solución incompleta para CVE-2021-3100. El paquete de hotpatch Apache Log4j ahora limitará explícitamente las capacidades de Linux y los cgroups del proceso Java de destino al que se aplica el hotpatch.

• CVE-2021-3101, de severidad alta, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a la falta de limitación de las capacidades o la etiqueta SELinux del proceso JVM de destino. Esto permitiría a un contenedor obtener privilegios máximos en el host, evadiendo las restricciones establecidas en el contenedor.

• CVE-2022-0071, de severidad alta, con una puntuación asignada de 8.8. Se debe a la solución incompleta para CVE-2021-3101. Esta falla se debe a que no establecía los límites de recursos, las restricciones de dispositivos o los filtros syscall del proceso JVM de destino. Esto permitiría a un contenedor agotar los recursos del host, modificar dispositivos o realizar llamadas de sistema que de otro modo estarían bloqueadas.

Las versiones afectadas en Amazon Web Service son:

• El paquete de hotpatch Apache Log4j antes de hotpatch 1.1-12;
• Hotdog, antes de versión 1.0.1;
• El paquete de hotpatch Apache Log4j antes de hotpatch 1.1-16;
• Hotdog, antes de la versión 1.0.2

Recomendamos instalar las actualizaciones disponibles, mediante los siguientes pasos:

1. Versión 1.1-16 del paquete log4j-cve-2021-44228-hotpatch, que agrupa el servicio de revisión activa.
2. En hosts independientes, puede actualizar ejecutando:
   • yum update log4j-cve-2021-44228-hotpatch (RPM), o
   • apt install --only-upgrade log4j-cve-2021-44228-hotpatch (Debian).
3. Actualizar: En los clústeres de Kubernetes que instalaron el hotpatch en cada nodo a través del hotpatch Daemonset, debe conectar manualmente a cada nodo y actualizar el hotpatch instalado a través de “yum o apt”. Tenga en cuenta que solo eliminar el hotpatch Daemonset no elimina el servicio de hotpatch de sus nodos.
4. Los usuarios de Hotdog deben actualizar a la última versión.

Obs.: Una vez que un host ejecuta la última versión disponible, el escape de contenedor y el escalamiento de privilegios ya no son posibles.

Adicionalmente, si está seguro de que su entorno está parchado contra Log4Shell, podría deshabilitar el servicio de revisión activa en un host ejecutando:

• sudo touch /etc/log4j-cve-2021-44228-hotpatch.kill.

Para deshabilitar Hotdog, ejecute:

• apiclient set oci-hooks.log4j-hotpatch-enabled=false.

Referencias:

• https://www.bleepingcomputer.com/news/security/amazon-web-services-fixes-container-escape-in-log4shell-hotfix/
• https://unit42.paloaltonetworks.com/aws-log4shell-hot-patch-vulnerabilities/
• https://aws.amazon.com/security/security-bulletins/AWS-2022-006/
• https://nvd.nist.gov/vuln/detail/CVE-2021-3100
• https://nvd.nist.gov/vuln/detail/CVE-2021-3101
• https://nvd.nist.gov/vuln/detail/CVE-2022-0070
• https://nvd.nist.gov/vuln/detail/CVE-2022-0071