Google frigiver sikkerheds-'fuzzer' på Log4Shell-fejl i open source-software

0
200

Liam Tung Skrevet af Liam Tung, bidragyder Liam Tung Liam Tung Bidragyder

Liam Tung er en australsk forretningsteknologijournalist, der bor et par for mange svenske mil nord for Stockholm til hans smag. Han tog en bachelorgrad i økonomi og kunst (kulturstudier) ved Sydneys Macquarie University, men hackede sig (uden nordisk eller ondsindet kode for den sags skyld) sig ind i en karriere som enterprise tech-, sikkerheds- og telekommunikationsjournalist hos ZDNet Australia.

Fuld bio den 17. december 2021 | Emne: Google Dette er, hvad der sker, når du bliver ramt af et ransomware-angreb. Se nu

Den fjernudnyttelige fejl i Log4j – det vidt udbredte Java-fejllogningsbibliotek – bliver angrebet af flere aktører og vil sandsynligvis forblive det i mange måneder endnu, efterhånden som open source-projekter, produktleverandører og slutbrugerorganisationer retter berørte systemer.

Google tilføjer nu OSS-Fuzz til puljen af ​​svar på den internetdækkende Log4j-fejl, også kendt som Log4Shell. Fejlen spores som CVE 2021-44228 og blev delvist rettet i Apache Foundations udgivelse af Log4j version 2.15.0 i sidste uge.

OSS-Fuzz er Googles gratis tjeneste til fuzzing af open source-softwareprojekter og bruges i øjeblikket af over 500 kritiske projekter. Fuzzing involverer at smide tilfældig kode mod software for at producere en fejl, såsom et nedbrud, og afdække potentielle sikkerhedsfejl.

LOG4J FEJLDÆKNING – HVAD DU SKAL VIDE NU 

USA advarer Log4j fejl sætter hundreder af millioner af enheder i fare
Log4j-fejl: Angribere gør tusindvis af forsøg på at udnytte denne alvorlige sårbarhed 
Log4j RCE-aktivitet begyndte den 1. december, da botnets begynder at bruge sårbarhed

For at finde Log4Shell-svagheder i nybygget open source-software samarbejder Google med sikkerhedsfirmaet Code Intelligence for at levere kontinuerlig fuzzing til Log4j.

Code Intelligence gør Jazzer, en open source fuzzing-motor, der nu er en del af OSS-Fuzz, og er blevet ændret til at identificere Log4j-sårbarheder i kode under udvikling. Google tildelte Code Intelligence $25.000 for sit arbejde med Log4j fuzzing.

“Da Jazzer er en del af OSS-Fuzz, bliver alle integrerede open source-projekter skrevet på Java og andre JVM-baserede sprog nu løbende søgt efter lignende sårbarheder,” bemærker Code Intelligence i en pressemeddelelse.

Jazzer er også i stand til at opdage JNDI-opslag – et stærkt tegn på, at potentielle angribere scanner et netværk for fejlen.

JNDI (Java Navngivning og Directory Interface) er en grænseflade til at oprette forbindelse til mapper i Lightweight Directory Access Protocol (LDAP)-servere, og fejlen i Log4j findes i dens implementering af JNDI.

< p>Som Ciscos Talos-forskere forklarer, giver fejlen en fjernangriber mulighed for at bruge en simpel LDAP-anmodning til at udløse sårbarheden i versioner af Log4j før 2.15, og derefter hente en nyttelast fra en fjernserver og udføre den lokalt på en sårbar enhed.

Apache Foundation udgav i denne uge Log4j version 2.16.0 for at rette en anden, relateret fejl, der stammer fra JNDI, der spores som CVE 2021-45046. Denne fejl gjorde det muligt for en angriber at lave datamønstre i et JNDI-meddelelsesopslag og lamme en maskine med et lammelsesangreb (DoS).

Log4j 2.16.0 deaktiverer adgang til JNDI som standard og begrænser standardprotokollerne til Java, LDAP og LDAPS. Deaktivering af JNDI var tidligere et manuelt skridt til at afbøde angreb mod den oprindelige fejl.

De fleste bestræbelser er nu fokuseret på leverandører, der opdaterer Log4j i deres produkter, og slutbrugerorganisationer anvender opdateringer, efterhånden som de bliver tilgængelige. For eksempel har US Cybersecurity and Infrastructure Security Agency (CISA) givet føderale agenturer indtil den 24. december til at identificere alle applikationer, der er berørt af Log4Shell. Cisco, VMware, IBM og Oracle har travlt med at udvikle patches til deres berørte produkter.

LOG4J FEJLDÆKNING – SÅDAN HOLDER DU DIN VIRKSOMHEDS SIKKER 

Log4j zero-day defekt: Hvad du har brug for at vide og hvordan du beskytter dig selv 
Sikkerhedsadvarsel: Ny nul-dag i Log4j Java-biblioteket bliver allerede udnyttet< /strong> 
Log4j-fejl kan være et problem for industrielle netværk “i mange år fremover” 

Googles OSS-Fuzz tackler Log4j fra en anden vinkel med det formål at forhindre udviklere ved et uheld at indsætte fejlen i nye softwareprojekter, der i sidste ende kan blive implementeret i produktionsmiljøer.

“Sårbarheder som Log4Shell er en øjenåbner for industrien med hensyn til nye angrebsvektorer. Med OSS-Fuzz og Jazzer, vi kan nu opdage denne sårbarhedsklasse, så de kan rettes, før de bliver et problem i produktionskoden,” siger Jonathan Metzman fra Google Open Source Security Team.

Sikkerhed

h3> Log4j-trussel: Hvad du har brug for at vide, og hvordan du beskytter dig selv Ransomware i 2022: Vi er alle skruet Microsoft Patch Tirsdag: Zero-day udnyttet til at sprede Emotet malware Kronos ramt med ransomware, advarer om databrud og 'adskillige uger' udfald De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Open Source | Sky | Mobilitet | Enterprise Software | Kunstig intelligens | Hardware