Cabecera-v2-web.jpg

Amazon lanza hotfix para log4j en Amazon Web Service AWS


21/04/2022

‎Amazon ha lanzado una actualización final para subsanar cuatro vulnerabilidades relacionadas a Log4shell, que permitirían a un atacante realizar escalamiento de privilegios y ejecutar código con permisos root.

Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Alta”. Las cuales se detallan a continuación:

  • CVE-2021-3100, de severidad alta, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a la falta de limitación de los permisos de la JVM (Java Virtual Machine) parchada, que permitiría a un atacante realizar escalamiento de privilegios ejecutando cualquier proceso.
  • CVE-2022-0070, de severidad alta, con una puntuación asignada de 8.8. Se debe a la solución incompleta para CVE-2021-3100. El paquete de hotpatch Apache Log4j ahora limitará explícitamente las capacidades de Linux y los cgroups del proceso Java de destino al que se aplica el hotpatch.
  • CVE-2021-3101, de severidad alta, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a la falta de limitación de las capacidades o la etiqueta SELinux del proceso JVM de destino. Esto permitiría a un contenedor obtener privilegios máximos en el host, evadiendo las restricciones establecidas en el contenedor.
  • CVE-2022-0071, de severidad alta, con una puntuación asignada de 8.8. Se debe a la solución incompleta para CVE-2021-3101. Esta falla se debe a que no establecía los límites de recursos, las restricciones de dispositivos o los filtros syscall del proceso JVM de destino. Esto permitiría a un contenedor agotar los recursos del host, modificar dispositivos o realizar llamadas de sistema que de otro modo estarían bloqueadas.

Las versiones afectadas en Amazon Web Service son:

  • El paquete de hotpatch Apache Log4j antes de hotpatch 1.1-12;
  • Hotdog, antes de versión 1.0.1;
  • El paquete de hotpatch Apache Log4j antes de hotpatch 1.1-16;
  • Hotdog, antes de la versión 1.0.2

Recomendamos instalar las actualizaciones disponibles, mediante los siguientes pasos:

  1. Versión 1.1-16 del paquete log4j-cve-2021-44228-hotpatch, que agrupa el servicio de revisión activa.
  2. En hosts independientes, puede actualizar ejecutando:
    • yum update log4j-cve-2021-44228-hotpatch (RPM), o
    • apt install --only-upgrade log4j-cve-2021-44228-hotpatch (Debian).
  3. Actualizar: En los clústeres de Kubernetes que instalaron el hotpatch en cada nodo a través del hotpatch Daemonset, debe conectar manualmente a cada nodo y actualizar el hotpatch instalado a través de “yum o apt”. Tenga en cuenta que solo eliminar el hotpatch Daemonset no elimina el servicio de hotpatch de sus nodos.
  4. Los usuarios de Hotdog deben actualizar a la última versión.

Obs.: Una vez que un host ejecuta la última versión disponible, el escape de contenedor y el escalamiento de privilegios ya no son posibles.

Adicionalmente, si está seguro de que su entorno está parchado contra Log4Shell, podría deshabilitar el servicio de revisión activa en un host ejecutando:

  • sudo touch /etc/log4j-cve-2021-44228-hotpatch.kill.

Para deshabilitar Hotdog, ejecute:

  • apiclient set oci-hooks.log4j-hotpatch-enabled=false.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11