БезопасностьРазноеТехнологии и не только

Новый вектор атаки Log4j может повлиять на локальные хосты без доступа в Интернет

9

В контексте: на прошлой неделе ИТ-организации изо всех сил пытались отреагировать на уязвимость Log4j, затрагивающую системы по всему миру. Поскольку эксперты по безопасности продолжали выявлять дополнительные ошибки в утилите ведения журнала, сетевые администраторы неустанно работали над выявлением и закрытием любого потенциального доступа, который может позволить использовать уязвимость. К сожалению, недавно обнаруженный вектор доказал, что даже изолированные системы без подключения к Интернету могут быть столь же уязвимы, что еще больше усложняет и без того огромную проблему.

У исследователей из Blumira есть еще плохие новости для ИТ-сообщества, борющегося с эксплойтами безопасности Log4j. В то время как предыдущие результаты показали, что затронутым системам потребуется определенный тип подключения к сети или Интернету, недавнее открытие охранной фирмы теперь утверждает, что службы, работающие как локальный хост без внешнего подключения, также могут быть использованы. Это открытие указало исследователям на еще несколько вариантов использования, описывающих альтернативные подходы к компрометации неисправленных активов, работающих под управлением Log4j.

В техническом посте технического директора Blumira Мэтью Уорнера рассказывается, как злоумышленник может воздействовать на уязвимые локальные машины. Warner заявляет, что WebSockets, которые представляют собой инструменты, обеспечивающие быструю и эффективную связь между веб-браузерами и веб-приложениями, могут использоваться для доставки полезной нагрузки уязвимым приложениям и серверам без подключения к Интернету. Этот конкретный вектор атаки означает, что неподключенные, но уязвимые активы могут быть скомпрометированы просто злоумышленником, отправившим вредоносный запрос с использованием существующего веб-сокета. В сообщении Warner подробно описаны конкретные шаги, которые злоумышленник предпримет, чтобы инициировать атаку на основе WebSocket.

Вновь выявленный вектор атаки приведет к увеличению числа уязвимых активов в уже сильно пострадавших отраслях. По данным Check Point Software, более 50% всех правительственных, военных, финансовых, распределительных, интернет-провайдеров и образовательных организаций в настоящее время подвержены уязвимости Log4j.

Уорнер отмечает, что существуют доступные методы, которые организации могут использовать для обнаружения любых существующих уязвимостей Log4j:

  • Запустите Windows PoSh или межплатформенные сценарии, предназначенные для определения того, где Log4j используется в локальных средах .
  • Найдите любой экземпляр .*/java.exe, который используется в качестве родительского процесса для cmd.exe/powershell.exe.
  • Убедитесь, что ваша организация настроена на обнаружение присутствия Cobalt Strike, TrickBot и связанных с ними распространенных инструментов злоумышленников.

Затронутые организации могут обновить свои экземпляры Log4j до версии 2.17, чтобы смягчить уязвимость инструмента (которые продолжают появляться). Сюда входят все организации, которые могли применить предыдущие исправления, версии 2.15 и 2.16, которые, как позже выяснилось, содержали собственный набор связанных уязвимостей.

Источник записи: www.techspot.com
Вам также может понравиться Больше от автора

Этот веб-сайт использует файлы cookie для улучшения вашего опыта. Мы предполагаем, что вы согласны с этим, но вы можете отказаться, если хотите. Принимаю Подробнее