DiversSécuritéTechnologie et plus

Le nouveau vecteur d’attaque Log4j peut affecter les hôtes locaux sans accès à Internet

7

Dans le contexte : La semaine dernière, les organisations informatiques se sont efforcées de répondre à la vulnérabilité Log4j affectant les systèmes du monde entier. Alors que les experts en sécurité ont continué à identifier des bogues supplémentaires dans l'utilitaire de journalisation, les administrateurs réseau ont travaillé sans relâche pour identifier et fermer tout accès potentiel qui pourrait permettre l'exploitation de la vulnérabilité. Malheureusement, un vecteur récemment découvert a prouvé que même des systèmes isolés sans connexion Internet peuvent être tout aussi vulnérables, ce qui complique encore le problème déjà énorme.

Les chercheurs de Blumira ont d'autres mauvaises nouvelles pour la communauté informatique qui lutte contre les exploits de sécurité Log4j. Alors que les découvertes précédentes indiquaient que les systèmes impactés nécessiteraient un certain type de réseau ou de connectivité Internet, la découverte récente de la société de sécurité affirme maintenant que les services fonctionnant en tant qu'hôte local sans connexion externe peuvent également être exploités. La découverte a orienté les chercheurs vers plusieurs autres cas d'utilisation décrivant des approches alternatives pour compromettre les actifs non corrigés exécutant Log4j.

Un article technique de Blumira CTO, Matthew Warner, explique comment un acteur malveillant peut avoir un impact sur les machines locales vulnérables. Warner déclare que les WebSockets, qui sont des outils qui permettent une communication rapide et efficace entre les navigateurs Web et les applications Web, pourraient être utilisés pour fournir des charges utiles aux applications et serveurs vulnérables sans connexion Internet. Ce vecteur d'attaque spécifique signifie que les actifs non connectés mais vulnérables pourraient être compromis simplement par un attaquant envoyant une requête malveillante à l'aide d'un WebSocket existant. Le message de Warner détaille les étapes spécifiques qu'un acteur malveillant suivrait pour lancer l'attaque basée sur WebSocket.

Le vecteur d'attaque nouvellement identifié entraînera un plus grand nombre d'actifs vulnérables dans des secteurs déjà fortement touchés. Selon Check Point Software, plus de 50 % de toutes les organisations gouvernementales, militaires, financières, de distribution, FAI et éducatives sont actuellement affectées par la vulnérabilité Log4j.

Warner note qu'il existe des méthodes disponibles que les organisations peuvent utiliser pour détecter les vulnérabilités Log4j existantes :

  • Exécutez des scripts Windows PoSh ou multiplateformes conçus pour identifier où Log4j est utilisé dans les environnements locaux
  • Recherchez toute instance de .*/java.exe" utilisée comme processus parent pour "cmd.exe/powershell.exe"
  • Assurez-vous que votre organisation est configurée pour détecter la présence de Cobalt Strike, TrickBot et des outils d'attaque courants associés

Les organisations concernées peuvent mettre à jour leurs instances de Log4j vers la version 2.17 pour atténuer la vulnérabilité de l'outil (qui ne cesse d'apparaître). Cela inclut toute organisation qui aurait pu appliquer les corrections précédentes, les versions 2.15 et 2.16, qui se sont avérées plus tard inclure leur propre ensemble de vulnérabilités associées.

Source d'enregistrement: www.techspot.com
You might also like More from author

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More