Jonathan Greig er en journalist basert i New York City.
Full Bio 14. desember 2021 | Emne: Sikkerhet
En annen sårbarhet som involverte Apache Log4j ble funnet på tirsdag etter at nettsikkerhetseksperter brukte dager på å forsøke å reparere eller redusere CVE-2021-44228.
Beskrivelsen av det nye sikkerhetsproblemet, CVE 2021-45046, sier at rettelsen til adressen CVE-2021-44228 i Apache Log4j 2.15.0 var “ufullstendig i visse ikke-standardkonfigurasjoner.”
“Dette kan tillate angripere… å lage ondsinnede inputdata ved å bruke et JNDI-oppslagsmønster som resulterer i et tjenestenektangrep (DOS),” heter det i CVE-beskrivelsen.
Apache har allerede gitt ut en oppdatering, Log4j 2.16.0, for dette problemet. CVE sier at Log4j 2.16.0 løser problemet ved å fjerne støtte for meldingsoppslagsmønstre og deaktivere JNDI-funksjonalitet som standard. Den bemerker at problemet kan reduseres i tidligere utgivelser ved å fjerne JndiLookup-klassen fra klassebanen.
John Bambenek, hovedtrusseljeger hos Netenrich, fortalte ZDNet at løsningen er å deaktivere JNDI-funksjonaliteten fullstendig (som er standardoppførselen i den nyeste versjonen).
“Minst et dusin grupper bruker disse sårbarhetene, så det bør iverksettes umiddelbare tiltak for enten å lappe, fjerne JNDI eller ta den ut av klassebanen (helst alle de ovennevnte),” sa Bambenek.
Den opprinnelige feilen i Log4j, et Java-bibliotek for logging av feilmeldinger i applikasjoner, har dominert overskrifter siden forrige uke. Utnyttelsene startet 1. desember, ifølge Cloudflare, og et første varsel fra CERT New Zealand utløste andre av CISA og Storbritannias nasjonale cybersikkerhetssenter.
Det nederlandske nasjonale cybersikkerhetssenteret har gitt ut en lang liste over programvare som er berørt av sårbarheten.
Det internasjonale sikkerhetsselskapet ESET har gitt ut et kart som viser hvor Log4j-utnyttingsforsøk har blitt gjort, med det høyeste volumet i USA, Storbritannia, Tyrkia, Tyskland og Nederland.
ESET
“Volumet av oppdagelsene våre bekrefter at det er et storskala problem som ikke vil forsvinne med det første,” Roman Kováč, Chief Research Officer i ESET, sa.
Mange selskaper opplever allerede angrep som utnytter sårbarheten; sikkerhetsplattformen Armis fortalte ZDNet at den oppdaget log4shell-angrepsforsøk hos over en tredjedel av sine klienter (35%). Angripere retter seg mot fysiske servere, virtuelle servere, IP-kameraer, produksjonsenheter og oppmøtesystemer.
Sikkerhet
Log4j zero-day-feil: Hva du trenger å vite og hvordan du beskytt deg selv Alle er utbrent. Det begynner å bli et sikkerhetsmareritt. De beste VPN-ene for små og hjemmebaserte bedrifter i 2021. Sjefene er motvillige til å bruke penger på nettsikkerhet. Da blir de hacket. Truffet av løsepengeprogramvare? Ikke gjør denne første åpenbare feilen Security TV | Databehandling | CXO | Datasentre