BezpieczeństwoRóżnorodnyTechnologia i nie tylko

Nowy wektor ataku Log4j może wpływać na lokalne hosty bez dostępu do Internetu

Od
0 5

W kontekście: w ubiegłym tygodniu organizacje IT starały się reagować na luki w zabezpieczeniach Log4j mające wpływ na systemy na całym świecie. Podczas gdy eksperci ds. bezpieczeństwa nadal identyfikowali dodatkowe błędy w narzędziu rejestrującym, administratorzy sieci pracowali niestrudzenie, aby zidentyfikować i zamknąć każdy potencjalny dostęp, który mógłby pozwolić na wykorzystanie luki. Niestety, nowo odkryty wektor dowiódł, że nawet izolowane systemy bez połączenia z Internetem mogą być równie podatne na ataki, co jeszcze bardziej komplikuje i tak już ogromny problem.

Badacze z firmy Blumira mają kolejne złe wieści dla społeczności IT walczącej z lukami w zabezpieczeniach Log4j. Podczas gdy poprzednie ustalenia wskazywały, że systemy, których dotyczy problem, wymagałyby pewnego rodzaju połączenia sieciowego lub internetowego, ostatnie odkrycie firmy zajmującej się bezpieczeństwem potwierdza teraz, że można również wykorzystać usługi działające jako host lokalny bez połączenia zewnętrznego. Odkrycie wskazało naukowcom kilka innych przypadków użycia przedstawiających alternatywne podejścia do naruszenia niezałatanych zasobów, na których działa Log4j.

Techniczny post autorstwa Blumira CTO, Matthew Warnera, opisuje, w jaki sposób złośliwy aktor może wpłynąć na wrażliwe maszyny lokalne. Warner twierdzi, że WebSockets, które są narzędziami umożliwiającymi szybką i wydajną komunikację między przeglądarkami internetowymi a aplikacjami internetowymi, mogą być wykorzystywane do dostarczania ładunków do wrażliwych aplikacji i serwerów bez połączenia z Internetem. Ten konkretny kierunek ataku oznacza, że ​​niepołączone, ale podatne na ataki zasoby mogą zostać naruszone po prostu przez osobę atakującą wysyłającą złośliwe żądanie przy użyciu istniejącego protokołu WebSocket. W poście Warnera wyszczególniono konkretne kroki, które złośliwy aktor podjąłby w celu zainicjowania ataku opartego na WebSocket.

Nowo zidentyfikowany wektor ataku spowoduje większą liczbę wrażliwych zasobów w branżach, które już zostały poważnie dotknięte. Według Check Point Software, ponad 50% wszystkich organizacji rządowych, wojskowych, finansowych, dystrybucyjnych, ISP i edukacyjnych jest obecnie dotkniętych luką Log4j.

Warner zauważa, że ​​istnieją dostępne metody, których organizacje mogą użyć do wykrycia wszelkich istniejących luk w zabezpieczeniach Log4j:

  • Uruchom Windows PoSh lub skrypty międzyplatformowe zaprojektowane w celu określenia, gdzie Log4j jest używany w środowiskach lokalnych
  • Poszukaj dowolnego wystąpienia .*/java.exe" używanego jako proces nadrzędny dla „cmd.exe/powershell.exe”
  • Upewnij się, że Twoja organizacja jest skonfigurowana do wykrywania obecności Cobalt Strike, TrickBot i powiązanych popularnych narzędzi atakujących

Organizacje, których dotyczy problem, mogą zaktualizować swoje instancje Log4j do wersji 2.17, aby złagodzić luki w zabezpieczeniach narzędzia (które wciąż się pojawiają). Obejmuje to każdą organizację, która mogła zastosować poprzednie środki zaradcze, wersje 2.15 i 2.16, które później okazały się zawierać własny zestaw powiązanych luk w zabezpieczeniach.

Źródło nagrywania: www.techspot.com
0 posts 485 comments
Może Ci się spodobać Więcej od autora
Leave A Reply

Your email address will not be published.

Ta strona korzysta z plików cookie, aby poprawić Twoje wrażenia. Zakładamy, że nie masz nic przeciwko, ale możesz zrezygnować, jeśli chcesz. Akceptuję Więcej szczegółów