MisceláneasSeguridadTecnología y más

El nuevo vector de ataque Log4j puede afectar a los hosts locales sin acceso a Internet

10

En contexto: la semana pasada las organizaciones de TI se esforzaron por responder a la vulnerabilidad de Log4j que afecta a los sistemas de todo el mundo. A medida que los expertos en seguridad continuaron identificando errores adicionales en la utilidad de registro, los administradores de red trabajaron incansablemente para identificar y cerrar cualquier acceso potencial que pudiera permitir la explotación de la vulnerabilidad. Desafortunadamente, un vector recién descubierto ha demostrado que incluso los sistemas aislados sin conexión a Internet pueden ser igual de vulnerables, lo que complica aún más el ya enorme problema.

Los investigadores de Blumira tienen más malas noticias para la comunidad de TI que lucha contra las vulnerabilidades de seguridad de Log4j. Si bien los hallazgos anteriores indicaron que los sistemas afectados requerirían algún tipo de red o conectividad a Internet, el descubrimiento reciente de la empresa de seguridad ahora afirma que los servicios que se ejecutan como host local sin conexión externa también pueden explotarse. El hallazgo señaló a los investigadores varios casos de uso más que describen enfoques alternativos para comprometer los activos no parcheados que ejecutan Log4j.

Una publicación técnica del CTO de Blumira, Matthew Warner, describe cómo un actor malicioso puede afectar las máquinas locales vulnerables. Warner afirma que los WebSockets, que son herramientas que permiten una comunicación rápida y eficiente entre los navegadores web y las aplicaciones web, podrían usarse para entregar cargas útiles a aplicaciones y servidores vulnerables sin conectividad a Internet. Este vector de ataque específico significa que los activos no conectados pero vulnerables podrían verse comprometidos simplemente por un atacante que envía una solicitud maliciosa utilizando un WebSocket existente. La publicación de Warner detalla los pasos específicos que tomaría un actor malicioso para iniciar el ataque basado en WebSocket.

El vector de ataque recientemente identificado dará como resultado una mayor cantidad de activos vulnerables en las industrias ya muy afectadas. Según Check Point Software, más del 50 % de todas las organizaciones gubernamentales, militares, financieras, de distribución, ISP y educativas están actualmente afectadas por la vulnerabilidad Log4j.

Warner señala que existen métodos disponibles que las organizaciones pueden usar para detectar cualquier vulnerabilidad de Log4j existente:

  • Ejecute Windows PoSh o scripts multiplataforma diseñados para identificar dónde se usa Log4j dentro de los entornos locales
  • Busque cualquier instancia de .*/java.exe" que se utilice como proceso principal para "cmd.exe/powershell.exe"
  • Asegúrese de que su organización esté configurada para detectar la presencia de Cobalt Strike, TrickBot y herramientas de atacantes comunes relacionadas

Las organizaciones afectadas pueden actualizar sus instancias de Log4j a la versión 2.17 para mitigar la vulnerabilidad de la herramienta (que sigue apareciendo). Esto incluye a cualquier organización que haya aplicado las correcciones anteriores, versiones 2.15 y 2.16, que luego se descubrió que incluían su propio conjunto de vulnerabilidades relacionadas.

Fuente de grabación: www.techspot.com
También podría gustarte Más del autor

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More