DiversesäkerhetTeknik och mer

Ny Log4j-attackvektor kan påverka lokala värdar utan internetåtkomst

4

I sammanhanget: Den senaste veckan har hållit IT-organisationer igång för att svara på Log4j-sårbarheten som påverkar system runt om i världen. Eftersom säkerhetsexperter har fortsatt att identifiera ytterligare buggar i loggningsverktyget, har nätverksadministratörer arbetat outtröttligt för att identifiera och stänga av all potentiell åtkomst som kan göra att sårbarheten kan utnyttjas. Tyvärr har en nyupptäckt vektor visat att även isolerade system utan internetanslutning kan vara lika sårbara, vilket ytterligare komplicerar det redan enorma problemet.

Forskare på Blumira har fler dåliga nyheter för IT-gemenskapen som kämpar mot Log4j-säkerhetsmissbruk. Medan tidigare fynd tydde på att påverkade system skulle kräva någon typ av nätverks- eller internetanslutning, hävdar säkerhetsföretagets senaste upptäckt nu att tjänster som körs som lokal värd utan extern anslutning också kan utnyttjas. Fyndet pekade forskare på flera fler användningsfall som beskriver alternativa metoder för att äventyra oparpade tillgångar som kör Log4j.

Ett tekniskt inlägg av Blumira CTO, Matthew Warner beskriver hur en illvillig aktör kan påverka sårbara lokala maskiner. Warner uppger att WebSockets, som är verktyg som möjliggör snabb och effektiv kommunikation mellan webbläsare och webbapplikationer, skulle kunna användas för att leverera nyttolaster till sårbara applikationer och servrar utan internetanslutning. Denna specifika attackvektor innebär att de oanslutna men sårbara tillgångarna kan äventyras helt enkelt av en angripare som skickar en skadlig begäran med hjälp av en befintlig WebSocket. Warners inlägg beskriver de specifika stegen en illvillig aktör skulle ta för att initiera den WebSocket-baserade attacken.

Den nyligen identifierade attackvektorn kommer att resultera i ett större antal sårbara tillgångar i redan hårt drabbade industrier. Enligt Check Point Software är över 50 % av alla regerings-, militär-, finans-, distributions-, ISP- och utbildningsorganisationer för närvarande påverkade av Log4j-sårbarheten.

Warner noterar att det finns tillgängliga metoder som organisationer kan använda för att upptäcka eventuella befintliga Log4j-sårbarheter:

  • Kör Windows PoSh eller plattformsöverskridande skript utformade för att identifiera var Log4j används i lokala miljöer
  • Leta efter någon instans av .*/java.exe" som används som överordnad process för "cmd.exe/powershell.exe"
  • Se till att din organisation är inställd för att upptäcka närvaron av Cobalt Strike, TrickBot och relaterade vanliga angriparverktyg

Berörda organisationer kan uppdatera sina instanser av Log4j till version 2.17 för att mildra verktygets sårbarhet (som hela tiden dyker upp). Detta inkluderar alla organisationer som kan ha tillämpat de tidigare korrigeringarna, version 2.15 och 2.16, som senare visade sig innehålla sina egna relaterade sårbarheter.

Inspelningskälla: www.techspot.com
You might also like More from author

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More