SicurezzaTecnologia e altroVarie

Il nuovo vettore di attacco Log4j può influenzare gli host locali senza accesso a Internet

5

Nel contesto: l'ultima settimana ha costretto le organizzazioni IT a lottare per rispondere alla vulnerabilità di Log4j che ha un impatto sui sistemi in tutto il mondo. Poiché gli esperti di sicurezza hanno continuato a identificare ulteriori bug nell'utilità di registrazione, gli amministratori di rete hanno lavorato instancabilmente per identificare e bloccare qualsiasi potenziale accesso che potrebbe consentire lo sfruttamento della vulnerabilità. Sfortunatamente, un vettore appena scoperto ha dimostrato che anche i sistemi isolati senza connettività Internet possono essere altrettanto vulnerabili, complicando ulteriormente il già enorme problema.

I ricercatori di Blumira hanno altre cattive notizie per la comunità IT che combatte gli exploit di sicurezza di Log4j. Mentre i risultati precedenti indicavano che i sistemi interessati avrebbero richiesto un qualche tipo di rete o connettività Internet, la recente scoperta dell'azienda di sicurezza ora afferma che è possibile sfruttare anche i servizi eseguiti come host locale senza connessione esterna. La scoperta ha indicato ai ricercatori molti altri casi d'uso che delineano approcci alternativi per compromettere le risorse senza patch che eseguono Log4j.

Un post tecnico di Blumira CTO, Matthew Warner, illustra come un attore malintenzionato può avere un impatto su macchine locali vulnerabili. Warner afferma che i WebSocket, strumenti che consentono una comunicazione rapida ed efficiente tra browser Web e applicazioni Web, potrebbero essere utilizzati per fornire carichi utili ad applicazioni e server vulnerabili senza connettività Internet. Questo specifico vettore di attacco significa che le risorse non connesse ma vulnerabili potrebbero essere compromesse semplicemente da un utente malintenzionato che invia una richiesta dannosa utilizzando un WebSocket esistente. Il post di Warner descrive in dettaglio i passaggi specifici che un attore malintenzionato dovrebbe intraprendere per avviare l'attacco basato su WebSocket.

Il vettore di attacco appena identificato si tradurrà in un numero maggiore di asset vulnerabili in settori già pesantemente colpiti. Secondo Check Point Software, oltre il 50% di tutte le organizzazioni governative, militari, finanziarie, di distribuzione, ISP e educative sono attualmente interessate dalla vulnerabilità di Log4j.

Warner osserva che sono disponibili metodi che le organizzazioni possono utilizzare per rilevare eventuali vulnerabilità di Log4j esistenti:

  • Esegui Windows PoSh o script multipiattaforma progettati per identificare dove viene utilizzato Log4j all'interno degli ambienti locali
  • Cerca qualsiasi istanza di .*/java.exe" utilizzata come processo padre per "cmd.exe/powershell.exe"
  • Assicurati che la tua organizzazione sia configurata per rilevare la presenza di Cobalt Strike, TrickBot e relativi strumenti comuni di attacco

Le organizzazioni interessate possono aggiornare le proprie istanze di Log4j alla versione 2.17 per mitigare la vulnerabilità dello strumento (che continua a comparire). Ciò include qualsiasi organizzazione che potrebbe aver applicato le soluzioni precedenti, le versioni 2.15 e 2.16, che in seguito sono state trovate per includere il proprio insieme di vulnerabilità correlate.

Fonte di registrazione: www.techspot.com
Potrebbe piacerti anche Altri di autore

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More