Skrivet av Liam Tung, bidragsgivare
Liam Tung Contributor
Liam Tung är en australisk affärsteknikjournalist som bor några för många svenska mil norr om Stockholm för sin smak. Han tog en kandidatexamen i ekonomi och konst (kulturstudier) vid Sydneys Macquarie University, men hackade sig (utan norrön eller skadlig kod för den delen) in i en karriär som företagsteknik-, säkerhets- och telekommunikationsjournalist med ZDNet Australia.
Fullständig bio den 17 december 2021 | Ämne: Google Det här är vad som händer när du drabbas av en ransomware-attack Titta nu
Det fjärrexploaterbara felet i Log4j – det brett använda Java-felloggningsbiblioteket – attackeras av flera aktörer och kommer sannolikt att förbli så i många månader till när projekt med öppen källkod, produktleverantörer och slutanvändarorganisationer korrigerar drabbade system.
Google lägger nu till OSS-Fuzz till poolen av svar på den internetomfattande Log4j-bristen, även känd som Log4Shell. Felet spåras som CVE 2021-44228 och fixades delvis i Apache Foundations release av Log4j version 2.15.0 förra veckan.
OSS-Fuzz är Googles kostnadsfria tjänst för att fuzza mjukvaruprojekt med öppen källkod och används för närvarande av över 500 kritiska projekt. Fuzzing involverar att kasta slumpmässig kod mot programvara för att skapa ett fel, som en krasch, och avslöja potentiella säkerhetsbrister.
LOG4J-FEL TÄCKNING – VAD DU BEHÖVER VETA NU
USA varnar Log4j-fel utsätter hundratals miljoner enheter i fara
Log4j-fel: Angripare gör tusentals försök att utnyttja denna allvarliga sårbarhet
Log4j RCE-aktivitet började den 1 december när botnät börjar använda sårbarhet
För att hitta svagheter i Log4Shell i nybyggd mjukvara med öppen källkod samarbetar Google med säkerhetsföretaget Code Intelligence för att tillhandahålla kontinuerlig fuzzing för Log4j.
Code Intelligence gör Jazzer, en otydlig motor med öppen källkod som nu är en del av OSS-Fuzz, och har modifierats för att identifiera Log4j-sårbarheter i kod under utveckling. Google tilldelade Code Intelligence $25 000 för sitt arbete med Log4j fuzzing.
“Eftersom Jazzer är en del av OSS-Fuzz, söker nu alla integrerade öppen källkodsprojekt skrivna i Java och andra JVM-baserade språk kontinuerligt efter liknande sårbarheter”, noterar Code Intelligence i ett pressmeddelande.
Jazzer kan också upptäcka JNDI-uppslagningar på avstånd – ett starkt tecken på att potentiella angripare söker igenom ett nätverk efter bristen.
JNDI (Java Naming and Directory Interface) är ett gränssnitt för anslutning till kataloger i Lightweight Directory Access Protocol (LDAP)-servrar, och bristen i Log4j finns i dess implementering av JNDI.
< p>Som Ciscos Talos-forskare förklarar tillåter felet en fjärrangripare att använda en enkel LDAP-begäran för att utlösa sårbarheten i tidigare versioner av Log4j, sedan hämta en nyttolast från en fjärrserver och köra den lokalt på en sårbar enhet.
Apache Foundation släppte denna vecka Log4j version 2.16.0 för att fixa ett andra, relaterat fel som härrör från JNDI som spåras som CVE 2021-45046. Det felet gjorde det möjligt för en angripare att skapa datamönster i en JNDI-meddelandesökning och förlama en maskin med ett överbelastningsskydd (DoS).
Log4j 2.16.0 inaktiverar åtkomst till JNDI som standard och begränsar standardprotokollen till Java, LDAP och LDAPS. Att inaktivera JNDI var tidigare ett manuellt steg för att mildra attacker mot det ursprungliga felet.
De flesta ansträngningarna är nu fokuserade på leverantörer som uppdaterar Log4j i sina produkter och slutanvändarorganisationer som tillämpar uppdateringar när de blir tillgängliga. Till exempel har US Cybersecurity and Infrastructure Security Agency (CISA) gett federala myndigheter fram till den 24 december för att identifiera alla applikationer som påverkas av Log4Shell. Cisco, VMware, IBM och Oracle är upptagna med att utveckla patchar för sina berörda produkter.
LOG4J FLAWTÄCKNING – HUR DU HÅLLER DITT FÖRETAG SÄKERT
Log4j nolldagarsfel: Vad du behöver veta och hur du skyddar dig
Säkerhetsvarning: Ny nolldag i Log4j Java-biblioteket utnyttjas redan< /strong>
Log4j-fel kan vara ett problem för industriella nätverk “i många år framöver”
Googles OSS-Fuzz tar itu med Log4j från en annan vinkel, i syfte att förhindra utvecklare av misstag infogar felet i nya programvaruprojekt som så småningom kan distribueras i produktionsmiljöer.
“Sårbarheter som Log4Shell är en ögonöppnare för branschen när det gäller nya attackvektorer. Med OSS-Fuzz och Jazzer, vi kan nu upptäcka den här typen av sårbarhet så att de kan åtgärdas innan de blir ett problem i produktionskoden”, säger Jonathan Metzman från Googles säkerhetsteam för öppen källkod.
Säkerhet
h3> Log4j-hot: Vad du behöver veta och hur du skyddar dig Ransomware 2022: Vi är alla skruvade Microsoft Patch Tisdag: Zero-day utnyttjas för att sprida Emotet malware Kronos drabbas av ransomware, varnar för dataintrång och “flera veckor” avbrott De bästa VPN:erna för små och hembaserade företag 2021 Open Source | Moln | Rörlighet | Företagsprogramvara | Artificiell intelligens | Hårdvara