Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 13 december 2021 | Ämne: Säkerhet
För de som inte kan korrigera Apache Log4Shell-sårbarheten har cybersäkerhetsföretaget Cybereason släppt vad de kallade en “fix” för 0-dagars exploateringen. Cybereason uppmanade folk att patcha sina system så snart som möjligt, men för de som inte kan uppdatera sina system eller göra det omedelbart har de skapat ett verktyg som de kallar “Logout4shell.”
Det är gratis tillgängligt på GitHub och Cybereason sa att det “är en relativt enkel fix som bara kräver grundläggande Java-kunskaper för att implementera.”
“Kort sagt använder korrigeringen själva sårbarheten för att ställa in flaggan som stänger av den. Eftersom sårbarheten är så lätt att utnyttja och så allestädes närvarande är det ett av de få sätten att stänga den på vissa sätt. scenarier”, säger Yonatan Striem-Amit, CTO för Cybereason.
“Du kan permanent stänga sårbarheten genom att få servern att spara en konfigurationsfil, men det är ett svårare förslag. Den enklaste lösningen är att sätta upp en server som ska ladda ner och sedan köra en klass som ändrar serverns konfiguration så att den inte laddas saker längre.”
“Vaccinet” fick ett blandat svar från experter, av vilka några berömde företaget för att de steg upp medan andra sa att det inte var tillräckligt för att skydda de som drabbats av sårbarheten.
Dr Richard Ford, CTO på Praetorian, sa att Log4j-sårbarheten kan vara subtil, och även om den ibland avslöjas med enkel skanning, hittas den också ofta begravd djupt i kundinfrastrukturen, där den kan vara svårare att utlösa.
“Av denna anledning är jag oroad över att några av de välmenande svar jag har sett från branschen kan orsaka problem på längre sikt. När det gäller Logout4Shell är det inte alltid lika trivialt att utnyttja som att skriva in en enkel sträng i ' ett sårbart fält.' Att veta vilket fält som är sårbart kan vara svårt, och med många människor som nu filtrerar trafik på vägen är det inte trivialt att veta att din sträng nådde servern intakt”, förklarade Ford.
“Om vi oavsiktligt ger en kund intrycket av att det är tillräckligt bra att bara poppa ${$jnfi… i en sträng, kan folk sluta med en falsk känsla av säkerhet. Dessutom kan generiskt patcha en server få obehagliga oavsiktliga konsekvenser, och det är upp till kunderna att ta reda på vilka risker de kan tolerera i ett produktionssystem. Cybereasons verktyg är ett intressant tillvägagångssätt, men skulle inte rekommendera en kund att enbart lita på det.”
Randoris Aaron Portnoy sa hot patching lösningar som denna kan vara effektiva stopp-gap-reducering, men den här lösningen kommer bara att vara effektiv under hela Java Virtual Machines livstid.
“Om applikationen eller systemet startar om måste 'vaccinet' appliceras igen. Den bästa åtgärden är att uppgradera log4j2-biblioteket och tillämpa standard-neka brandväggsregler på utgående trafik för system som kan vara mottagliga”, sa Portnoy .
Bugcrowd CTO Casey Ellis noterade att att köra detta utan tillstånd på någon annans infrastruktur “står nästan säkert i strid med anti-hackinglagar som CFAA, vilket skapar juridiska risker oavsett om avsikten är välvillig eller skadlig .”
“Även om folk kan vara välmenande, är det viktigt för dem att förstå den juridiska risken det skapar för dem. Det är en liknande teknik som FBI och DOJ gjorde tidigare under året för att mildra HAFNIUM-webbskal på Exchange-servrar, bara FBI hade den juridiska välsignelsen av DOJ,” sa Ellis.
“Bortsett från det gillar jag den här lösningens “kaotiska goda” karaktär – särskilt med tanke på det kaos som organisationer upplever när det gäller att hitta alla platser som log4j kan existera i deras miljö. Skriptet tar i princip den lösning som först flaggades av Marcus Hutchins som inaktiverar indexering och sedan använder själva sårbarheten för att applicera den. Det faktum att lösningar som denna kommer ut så snabbt är talande när det gäller den här sårbarhetens allestädes närvarande, komplexiteten i att applicera en korrekt patch och det stora antalet sätt som det kan utnyttjas.”
Ellis tillade att verktygets effektivitet är begränsad eftersom det inte fungerar för versioner före 2.10, kräver omstart och att exploateringen måste aktiveras korrekt för att vara effektiv. Även när den fungerar korrekt lämnar den fortfarande den sårbara koden på plats, förklarade Ellis.
På grund av komplexiteten i regressionstestning Log4j, sa Ellis att han redan hört från ett antal organisationer som arbetar med de lösningar som finns i Cybereason-verktyget som sitt primära tillvägagångssätt.
Han förväntar sig att åtminstone vissa använder verktyget selektivt och situationsmässigt, men sa att det är viktigt att förstå att detta inte är en lösning – det är en lösning med ett antal begränsningar.
“Den har en spännande potential som ett verktyg i verktygslådan eftersom organisationer minskar log4j-risken, och om det är vettigt för dem att använda det kommer en av de främsta anledningarna att vara snabba att minska risken,” sa Ellis .
Säkerhet
Log4j-fel: Angripare gör tusentals försök att utnyttja denna sårbarhet. Alla är utbrända. Det håller på att bli en säkerhetsmardröm De bästa VPN:erna för små och hembaserade företag 2021. Chefer är ovilliga att spendera pengar på cybersäkerhet. Då blir de hackade Hit av ransomware? Gör inte detta första uppenbara misstag Säkerhets-TV | Datahantering | CXO | Datacenter