SekalaistaTekniikka ja paljon muutaTurvallisuus

Uusi Log4j-hyökkäysvektori voi vaikuttaa paikallisiin isänteihin, joilla ei ole Internet-yhteyttä

5

Asiayhteydessä: Kulunut viikko on pitänyt IT-organisaatiot pyrkimässä vastaamaan Log4j-haavoittuvuuteen, joka vaikuttaa järjestelmiin ympäri maailmaa. Suojausasiantuntijat ovat jatkaneet lisävirheiden tunnistamista lokityökalussa, ja verkonvalvojat ovat työskennelleet väsymättä tunnistaakseen ja sulkeakseen mahdolliset pääsyt, jotka voivat mahdollistaa haavoittuvuuden hyödyntämisen. Valitettavasti äskettäin löydetty vektori on osoittanut, että jopa erilliset järjestelmät, joissa ei ole Internet-yhteyttä, voivat olla yhtä haavoittuvia, mikä vaikeuttaa entisestään jo ennestään valtavaa ongelmaa.

Blumiran tutkijoilla on lisää huonoja uutisia Log4j-tietoturvahyödykkeitä vastaan ​​taistelevalle IT-yhteisölle. Vaikka aikaisemmat havainnot osoittivat, että vaikutuksen alaiset järjestelmät vaatisivat jonkin tyyppistä verkko- tai Internet-yhteyttä, turvayrityksen äskettäinen löytö vakuuttaa nyt, että palveluita, jotka toimivat paikallisena isäntänä ilman ulkoista yhteyttä, voidaan myös hyödyntää. Havainto osoitti tutkijoille useita muita käyttötapauksia, joissa hahmoteltiin vaihtoehtoisia tapoja vaarantaa Log4j:tä käyttävän korjaamattoman omaisuuden.

Blumiran teknologiajohtajan Matthew Warnerin teknisessä viestissä hahmotellaan, kuinka pahantahtoinen toimija voi vaikuttaa haavoittuviin paikallisiin koneisiin. Warner toteaa, että WebSocketit, jotka ovat työkaluja, jotka mahdollistavat nopean ja tehokkaan viestinnän verkkoselaimien ja verkkosovellusten välillä, voitaisiin käyttää hyötykuormien toimittamiseen haavoittuville sovelluksille ja palvelimille, joilla ei ole Internet-yhteyttä. Tämä erityinen hyökkäysvektori tarkoittaa, että yhdistämättömät mutta haavoittuvat omaisuudet voivat vaarantua yksinkertaisesti siitä syystä, että hyökkääjä lähettää haitallisen pyynnön olemassa olevan WebSocketin avulla. Warnerin viestissä kerrotaan erityisistä toimista, joita pahantahtoinen toimija ryhtyy käynnistääkseen WebSocket-pohjaisen hyökkäyksen.

Äskettäin tunnistettu hyökkäysvektori johtaa suurempaan määrään haavoittuvia omaisuuseriä jo ennestään voimakkaasti kärsineillä toimialoilla. Check Point Softwaren mukaan Log4j-haavoittuvuus vaikuttaa tällä hetkellä yli 50 prosenttiin kaikista valtion-, armeija-, rahoitus-, jakelu-, Internet-palveluntarjoajista ja koulutusorganisaatioista .

Warner huomauttaa, että on olemassa menetelmiä, joilla organisaatiot voivat havaita olemassa olevat Log4j-haavoittuvuudet:

  • Suorita Windows PoSh tai monialustaisia ​​komentosarjoja, jotka on suunniteltu tunnistamaan, missä Log4j:tä käytetään paikallisissa ympäristöissä
  • Etsi mitä tahansa .*/java.exe-esiintymää, jota käytetään pääprosessina "cmd.exe/powershell.exe"
  • Varmista, että organisaatiosi on määritetty havaitsemaan Cobalt Strike, TrickBot ja niihin liittyvät yleiset hyökkääjätyökalut

Organisaatiot, joihin vaikutus vaikuttaa, voivat päivittää Log4j-esiintymänsä versioon 2.17 vähentääkseen työkalun haavoittuvuutta (jota ilmaantuu jatkuvasti). Tämä sisältää kaikki organisaatiot, jotka ovat saattaneet käyttää aiempia korjauksia, versioita 2.15 ja 2.16, joiden myöhemmin havaittiin sisältävän omia haavoittuvuuksiaan.

You might also like More from author

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More