- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 319 zobrazení
Výzkumný tým společnosti Blumira objevil ve zranitelnosti Log4j alternativní vektor útoku, který se spoléhá na základní připojení Javascript WebSocket ke spuštění RCE lokálně prostřednictvím kompromisu drive-by.
Dříve bylo jedním z předpokladů, že dopad Log4j byl omezen na vystavené zranitelné servery. Tento nově objevený vektor útoku znamená, že kdokoli se zranitelnou verzí Log4j může být zneužit prostřednictvím cesty naslouchajícího serveru na jejich počítači nebo místní síti prostřednictvím procházení webové stránky a spuštěním zranitelnosti. Připojení WebSocket v rámci hostitele může být obtížné získat hluboký přehled, což zvyšuje složitost detekce tohoto útoku. V tomto okamžiku neexistuje žádný důkaz o aktivním zneužívání tohoto problému.
Jake Williams, spoluzakladatel a technický ředitel ve společnosti BreachQuest, přední společnosti v oblasti reakce na incidenty se sídlem v Georgii, vysvětluje: „WebSockets byly dříve používány pro skenování portů interních systémů, ale toto představuje jedno z prvních zneužití vzdáleného spouštění kódu, které WebSockets přenáší. To by však nemělo změnit postoj nikoho ke správě zranitelnosti. Organizace by měly tlačit na rychlou opravu a zmírnění tím, že zabrání odchozím připojením z potenciálně zranitelných služeb, kde oprava není možná.“
Zranitelnost Log4j, nazvaná Log4Shell, již poskytuje relativně snadnou cestu zneužití pro aktéry hrozeb, zatímco k převzetí plné kontroly nad webovými servery nevyžaduje ověření. Pomocí této chyby zabezpečení mohou útočníci volat externí knihovny Java přes ${jdni:ldap:// a ${jndi:ldaps:// a spouštět shelly pro nasazení RCE útoku bez dalšího úsilí. Tento nový útočný vektor ještě více rozšiřuje útočnou plochu pro Log4j a může ovlivnit i služby běžící jako localhost, které nebyly vystaveny žádné síti.
„Když byla uvolněna chyba zabezpečení Log4j, rychle se ukázalo, že má potenciál stát se větším problémem. Tento vektor útoku otevírá řadu potenciálních případů zneužití, od inzerování až po vytváření děr pro útoky typu drive-by,“ řekl Matthew Warner, CTO a spoluzakladatel společnosti Blumira. „Uvedení těchto informací na světlo zajistí, že organizace budou mít příležitost rychle jednat a chránit se před hrozbami.“
Výzkumníci sdělili tyto informace CERT podle standardních postupů uvedených v jeho zásadách zveřejňování zranitelnosti.
John Bambenek, hlavní lovec hrozeb ve společnosti Netenrich, kalifornské společnosti zabývající se digitálními IT a bezpečnostními operacemi, komentuje novinky: „Ač je to důležité, útočníci budou pravděpodobně upřednostňovat vzdálený exploit oproti lokálnímu. Jak již bylo řečeno, tato zpráva znamená, že spoléhat se na WAF nebo jinou síťovou obranu již není efektivním zmírněním dopadů. Patching zůstává tím nejdůležitějším krokem, který může organizace udělat.“
Související články:
Školení kybernetické bezpečnosti
Autor původního článku: Neznámý
Překlad: Ondřej Strachota