Jonathan Greig er journalist baseret i New York City.
Fuld biografisk den 13. december 2021 | Emne: Sikkerhed
For dem, der ikke er i stand til at lappe Apache Log4Shell-sårbarheden, har cybersikkerhedsfirmaet Cybereason udgivet, hvad de kaldte en “fix” til 0-dages udnyttelse. Cybereason opfordrede folk til at patche deres systemer så hurtigt som muligt, men for dem, der ikke kan opdatere deres systemer eller gøre det med det samme, har de lavet et værktøj, de kalder “Logout4shell.”
Det er gratis tilgængeligt på GitHub og Cybereason sagde, at det “er en relativt simpel løsning, der kun kræver grundlæggende Java-færdigheder at implementere.”
“Kort sagt, rettelsen bruger selve sårbarheden til at indstille flaget, der slår den fra. Fordi sårbarheden er så let at udnytte og så allestedsnærværende – er det en af de meget få måder at lukke den på scenarier,” sagde Yonatan Striem-Amit, CTO for Cybereason.
“Du kan permanent lukke sårbarheden ved at få serveren til at gemme en konfigurationsfil, men det er et mere vanskeligt forslag. Den enkleste løsning er at opsætte en server, der vil downloade og derefter køre en klasse, der ændrer serverens konfiguration, så den ikke indlæses. ting længere.”
“Vaccinen” fik en blandet reaktion fra eksperter, hvoraf nogle roste virksomheden for at gå op, mens andre sagde, at det ikke var nær nok til at beskytte dem, der var berørt af sårbarheden.
Dr. Richard Ford, CTO for Praetorian, sagde, at Log4j-sårbarheden kan være subtil, og selvom den nogle gange afsløres med simpel scanning, findes den også ofte begravet dybt i kundeinfrastrukturen, hvor den kan være sværere at udløse.
“Af denne grund er jeg bekymret for, at nogle af de velmenende svar, jeg har set fra industrien, kan forårsage problemer på længere sigt. I tilfældet med Logout4Shell er det ikke altid lige så trivielt at udnytte som at indtaste en simpel streng i ' et sårbart felt.' Det kan være vanskeligt at vide, hvilket felt der er sårbart, og da mange mennesker nu filtrerer trafik undervejs, er det ikke trivielt at vide, at din streng nåede serveren intakt,” forklarede Ford.
“Hvis vi utilsigtet giver en kunde det indtryk, at det bare er godt nok at sætte ${$jnfi… ind i en streng, kan folk ende med en falsk følelse af sikkerhed. Derudover kan generisk patchning af en server have ubehagelige utilsigtede konsekvenser, og det er op til kunderne at finde ud af, hvilke risici de kan tolerere i et produktionssystem. Cybereasons værktøj er en interessant tilgang, men vil ikke anbefale, at en kunde udelukkende stoler på det.”
Randoris Aaron Portnoy sagde hot patching løsninger som denne kan være effektive stop-gap-reduktioner, men denne løsning vil kun være effektiv i hele Java Virtual Machines levetid.
“Hvis applikationen eller systemet genstarter, skal 'vaccinen' påføres igen. Den bedste afhjælpning er at opgradere log4j2-biblioteket og anvende standard-deny firewall-regler på udgående trafik for systemer, der kan være modtagelige,” sagde Portnoy .
Bugcrowd CTO Casey Ellis bemærkede, at at køre dette uden tilladelse på en andens infrastruktur “er næsten helt sikkert i strid med anti-hacking love som CFAA, hvilket skaber juridisk risiko, uanset om hensigten er godgørende eller ondsindet .”
“Selvom folk måske er velmenende, er det vigtigt for dem at forstå den juridiske risiko, det skaber for dem. Det er en teknik, der ligner, hvad FBI og DOJ gjorde tidligere på året for at afbøde HAFNIUM-webskaller på Exchange-servere, kun FBI havde DOJ's juridiske velsignelse,” sagde Ellis.
“Bortset fra det kan jeg godt lide denne løsnings 'kaotiske gode' karakter – især i betragtning af det kaos, organisationer oplever i at finde alle de steder, som log4j kan eksistere i deres miljø. Scriptet tager dybest set den løsning, som Marcus Hutchins først markerede som deaktiverer indeksering og derefter bruger selve sårbarheden til at anvende den. Det faktum, at løsninger som denne kommer ud så hurtigt, er sigende med hensyn til denne sårbarhed allestedsnærværende, kompleksiteten ved at anvende en ordentlig patch og det store antal måder, det kan blive udnyttet.”
Ellis tilføjede, at værktøjets effektivitet er begrænset, fordi det ikke virker for versioner før 2.10, kræver en genstart, og udnyttelsen skal udløses korrekt for at være effektiv. Selv når det kører korrekt, efterlader det stadig den sårbare kode på plads, forklarede Ellis.
På grund af kompleksiteten af regressionstestning Log4j sagde Ellis, at han allerede har hørt fra en række organisationer, der forfølger de løsninger, der er indeholdt i Cybereason-værktøjet som deres primære tilgang.
Han forventer, at i det mindste nogle vil bruge værktøjet selektivt og situationsbestemt, men sagde, at det er afgørende at forstå, at dette ikke er en løsning – det er en løsning med en række begrænsninger.
“Det har et spændende potentiale som et værktøj i værktøjskassen, da organisationer reducerer log4j-risikoen, og hvis det giver mening for dem at bruge det, vil en af de primære årsager være hastigheden til risikoreduktion,” sagde Ellis .
Sikkerhed
Log4j-fejl: Angribere gør tusindvis af forsøg på at udnytte denne sårbarhed. Alle er udbrændt. Det er ved at blive et sikkerhedsmareridt De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Chefer er tilbageholdende med at bruge penge på cybersikkerhed. Så bliver de hacket Ramt af ransomware? Begå ikke denne første åbenlyse fejl Security TV | Datastyring | CXO | Datacentre