Novo vetor de ataque Log4j pode afetar hosts locais sem acesso à Internet

7

No contexto: A semana passada manteve as organizações de TI lutando para responder à vulnerabilidade do Log4j que afeta sistemas em todo o mundo. Como os especialistas em segurança continuaram a identificar bugs adicionais no utilitário de registro, os administradores de rede trabalharam incansavelmente para identificar e fechar qualquer acesso potencial que possa permitir que a vulnerabilidade seja explorada. Infelizmente, um vetor recém-descoberto provou que mesmo sistemas isolados sem conectividade com a Internet podem ser igualmente vulneráveis, complicando ainda mais o já enorme problema.

Pesquisadores da Blumira têm mais más notícias para a comunidade de TI que luta contra as explorações de segurança do Log4j. Embora descobertas anteriores indicassem que os sistemas afetados exigiriam algum tipo de rede ou conectividade com a Internet, a recente descoberta da empresa de segurança agora afirma que os serviços executados como host local sem conexão externa também podem ser explorados. A descoberta apontou os pesquisadores para vários outros casos de uso delineando abordagens alternativas para comprometer ativos não corrigidos executando o Log4j.

Uma postagem técnica do CTO da Blumira, Matthew Warner, descreve como um agente malicioso pode afetar máquinas locais vulneráveis. Warner afirma que WebSockets, que são ferramentas que permitem comunicação rápida e eficiente entre navegadores e aplicativos da Web, podem ser usados ​​para fornecer cargas úteis a aplicativos e servidores vulneráveis ​​sem conectividade com a Internet. Esse vetor de ataque específico significa que os ativos desconectados, mas vulneráveis, podem ser comprometidos simplesmente por um invasor enviar uma solicitação maliciosa usando um WebSocket existente. A postagem de Warner detalha as etapas específicas que um agente malicioso tomaria para iniciar o ataque baseado em WebSocket.

O vetor de ataque recém-identificado resultará em um número maior de ativos vulneráveis ​​em setores já fortemente afetados. De acordo com a Check Point Software, mais de 50% de todas as organizações governamentais, militares, financeiras, de distribuição, ISP e educação são atualmente afetadas pela vulnerabilidade Log4j.

A Warner observa que existem métodos disponíveis que as organizações podem usar para detectar quaisquer vulnerabilidades existentes do Log4j:

  • Execute Windows PoSh ou scripts de plataforma cruzada projetados para identificar onde o Log4j é usado em ambientes locais
  • Procure qualquer instância de .*/java.exe" sendo usada como o processo pai para "cmd.exe/powershell.exe"
  • Certifique-se de que sua organização esteja configurada para detectar a presença de Cobalt Strike, TrickBot e ferramentas comuns relacionadas a invasores

As organizações afetadas podem atualizar suas instâncias do Log4j para a versão 2.17 para mitigar a vulnerabilidade da ferramenta (que continua aparecendo). Isso inclui qualquer organização que possa ter aplicado as correções anteriores, versões 2.15 e 2.16, que posteriormente incluíam seu próprio conjunto de vulnerabilidades relacionadas.

Fonte de gravação: www.techspot.com

Este site usa cookies para melhorar sua experiência. Presumiremos que você está ok com isso, mas você pode cancelar, se desejar. Aceitar Consulte Mais informação