DiverseSikkerhetTeknologi og mer

Ny Log4j angrepsvektor kan påvirke lokale verter uten internettilgang

10

I kontekst: Den siste uken har holdt IT-organisasjoner i gang med å svare på Log4j-sårbarheten som påvirker systemer rundt om i verden. Ettersom sikkerhetseksperter har fortsatt å identifisere flere feil i loggingsverktøyet, har nettverksadministratorer jobbet utrettelig for å identifisere og stenge av potensiell tilgang som kan tillate at sårbarheten kan utnyttes. Dessverre har en nyoppdaget vektor bevist at selv isolerte systemer uten internettforbindelse kan være like sårbare, noe som kompliserer det allerede enorme problemet ytterligere.

Forskere ved Blumira har flere dårlige nyheter for IT-miljøet som kjemper mot Log4j-sikkerhetsutnyttelser. Mens tidligere funn indikerte at påvirkede systemer ville kreve en eller annen type nettverks- eller internettilkobling, hevder sikkerhetsfirmaets nylige oppdagelse nå at tjenester som kjører som lokal vert uten ekstern tilkobling også kan utnyttes. Funnet pekte forskerne på flere brukstilfeller som skisserer alternative tilnærminger for å kompromittere upatchede eiendeler som kjører Log4j.

Et teknisk innlegg av Blumira CTO, Matthew Warner, skisserer hvordan en ondsinnet aktør kan påvirke sårbare lokale maskiner. Warner uttaler at WebSockets, som er verktøy som tillater rask og effektiv kommunikasjon mellom nettlesere og nettapplikasjoner, kan brukes til å levere nyttelast til sårbare applikasjoner og servere uten internettforbindelse. Denne spesifikke angrepsvektoren betyr at ukoblede, men sårbare eiendeler kan bli kompromittert ganske enkelt av en angriper som sender en ondsinnet forespørsel ved hjelp av en eksisterende WebSocket. Warners innlegg beskriver de spesifikke trinnene en ondsinnet aktør ville ta for å sette i gang det WebSocket-baserte angrepet.

Den nylig identifiserte angrepsvektoren vil resultere i et større antall sårbare eiendeler på tvers av allerede sterkt berørte bransjer. I følge Check Point Software er over 50 % av alle offentlige, militære, finans-, distribusjons-, ISP- og utdanningsorganisasjoner for øyeblikket berørt av Log4j-sårbarheten.

Warner bemerker at det er tilgjengelige metoder organisasjoner kan bruke for å oppdage eventuelle eksisterende Log4j-sårbarheter:

  • Kjør Windows PoSh eller skript på tvers av plattformer designet for å identifisere hvor Log4j brukes i lokale miljøer
  • Se etter en forekomst av .*/java.exe" som brukes som overordnet prosess for "cmd.exe/powershell.exe"
  • Sørg for at organisasjonen din er konfigurert til å oppdage tilstedeværelsen av Cobalt Strike, TrickBot og relaterte vanlige angriperverktøy

Berørte organisasjoner kan oppdatere forekomstene av Log4j til versjon 2.17 for å redusere verktøyets sårbarhet (som stadig dukker opp). Dette inkluderer enhver organisasjon som kan ha brukt de tidligere utbedringene, versjon 2.15 og 2.16, som senere ble funnet å inkludere deres eget sett med relaterte sårbarheter.

Opptakskilde: www.techspot.com
Kan hende du også liker Mer fra forfatteren

Dette nettstedet bruker informasjonskapsler for å forbedre din opplevelse. Vi antar at du er ok med dette, men du kan velge bort det hvis du ønsker det. jeg aksepterer Mer informasjon