SicherheitSonstigTechnik und mehr

Der neue Log4j-Angriffsvektor kann lokale Hosts ohne Internetzugang betreffen

9

Im Kontext: In der vergangenen Woche haben IT-Organisationen sich bemüht, auf die Log4j-Schwachstelle zu reagieren, die sich auf Systeme auf der ganzen Welt auswirkt. Während Sicherheitsexperten weitere Fehler im Protokollierungsprogramm identifiziert haben, haben Netzwerkadministratoren unermüdlich daran gearbeitet, jeden potenziellen Zugriff zu identifizieren und zu sperren, der die Ausnutzung der Schwachstelle ermöglichen könnte. Leider hat ein neu entdeckter Vektor bewiesen, dass selbst isolierte Systeme ohne Internetverbindung genauso anfällig sein können, was das ohnehin schon enorme Problem noch komplizierter macht.

Die Forscher von Blumira haben weitere schlechte Nachrichten für die IT-Community, die gegen Log4j-Sicherheitslücken kämpft. Während frühere Ergebnisse darauf hindeuteten, dass betroffene Systeme irgendeine Art von Netzwerk- oder Internetverbindung benötigen würden, bestätigt die jüngste Entdeckung des Sicherheitsunternehmens nun, dass Dienste, die als lokaler Host ohne externe Verbindung ausgeführt werden, ebenfalls ausgenutzt werden können. Das Ergebnis wies die Forscher auf mehrere weitere Anwendungsfälle hin, die alternative Ansätze zur Kompromittierung ungepatchter Assets skizzierten, auf denen Log4j ausgeführt wird.

Ein technischer Beitrag von Matthew Warner, CTO von Blumira, beschreibt, wie ein bösartiger Akteur anfällige lokale Computer beeinträchtigen kann. Warner erklärt, dass WebSockets, also Tools, die eine schnelle und effiziente Kommunikation zwischen Webbrowsern und Webanwendungen ermöglichen, verwendet werden könnten, um Nutzlasten an gefährdete Anwendungen und Server ohne Internetverbindung zu liefern. Dieser spezifische Angriffsvektor bedeutet, dass die nicht verbundenen, aber anfälligen Ressourcen einfach durch einen Angreifer kompromittiert werden könnten, der eine böswillige Anfrage über einen vorhandenen WebSocket sendet. Warners Beitrag beschreibt die konkreten Schritte, die ein böswilliger Akteur unternehmen würde, um den WebSocket-basierten Angriff einzuleiten.

Der neu identifizierte Angriffsvektor wird zu einer größeren Anzahl an gefährdeten Vermögenswerten in bereits stark betroffenen Branchen führen. Laut Check Point Software sind derzeit über 50 % aller Regierungs-, Militär-, Finanz-, Vertriebs-, ISP- und Bildungsorganisationen von der Log4j-Schwachstelle betroffen .

Warner weist darauf hin, dass es verfügbare Methoden gibt, die Organisationen verwenden können, um vorhandene Log4j-Schwachstellen zu erkennen:

  • Führen Sie Windows PoSh- oder plattformübergreifende Skripts aus, die entwickelt wurden, um zu identifizieren, wo Log4j in lokalen Umgebungen verwendet wird
  • Suchen Sie nach einer beliebigen Instanz von „.*/java.exe”, die als übergeordneter Prozess für „cmd.exe/powershell.exe” verwendet wird.
  • Stellen Sie sicher, dass Ihr Unternehmen so eingerichtet ist, dass es das Vorhandensein von Cobalt Strike, TrickBot und verwandten gängigen Angreifer-Tools erkennt

Betroffene Organisationen können ihre Instanzen von Log4j auf Version 2.17 aktualisieren, um die Schwachstelle des Tools (die immer wieder auftaucht) zu mindern. Dies schließt alle Organisationen ein, die möglicherweise die vorherigen Korrekturen, Versionen 2.15 und 2.16, angewendet haben, die später ihre eigene Reihe verwandter Schwachstellen enthielten.

Aufnahmequelle: www.techspot.com
Das könnte dir auch gefallen Mehr vom Autor

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern. Wir gehen davon aus, dass Sie damit einverstanden sind, Sie können sich jedoch abmelden, wenn Sie möchten. Annehmen Weiterlesen