Liam Tung er en australsk forretningsteknologijournalist som bor noen for mange svenske mil nord for Stockholm for hans smak. Han tok en bachelorgrad i økonomi og kunst (kulturstudier) ved Sydneys Macquarie University, men hacket seg (uten norrønt eller ondsinnet kode for den saks skyld) seg inn i en karriere som enterprise tech-, sikkerhets- og telekommunikasjonsjournalist hos ZDNet Australia.
Full bio 17. desember 2021 | Emne: Google 
Den fjernutnyttbare feilen i Log4j – det utbredte Java-feilloggingsbiblioteket – blir angrepet av flere aktører og vil sannsynligvis forbli slik i mange flere måneder ettersom åpen kildekode-prosjekter, produktleverandører og sluttbrukerorganisasjoner lapper berørte systemer.
Google legger nå OSS-Fuzz til utvalget av svar på den internettdekkende Log4j-feilen, også kjent som Log4Shell. Feilen spores som CVE 2021-44228 og ble delvis fikset i Apache Foundations utgivelse av Log4j versjon 2.15.0 forrige uke.
OSS-Fuzz er Googles gratistjeneste for fuzzing av åpen kildekode-programvareprosjekter og brukes for tiden av over 500 kritiske prosjekter. Fuzzing innebærer å kaste tilfeldig kode mot programvare for å produsere en feil, som en krasj, og avdekke potensielle sikkerhetsfeil.
LOG4J FEILDEKNING – DET DU TRENGER Å VITE NÅ
USA advarer Log4j-feil setter hundrevis av millioner enheter i fare
Log4j-feil: Angripere gjør tusenvis av forsøk på å utnytte denne alvorlige sårbarheten
Log4j RCE-aktivitet begynte 1. desember da botnett begynner å bruke sårbarhet
For å finne svakheter i Log4Shell i nybygd åpen kildekode-programvare, samarbeider Google med sikkerhetsfirmaet Code Intelligence for å tilby kontinuerlig fuzzing for Log4j.
Code Intelligence lager Jazzer, en åpen kildekode fuzzing-motor som nå er en del av OSS-Fuzz, og har blitt modifisert for å identifisere Log4j-sårbarheter i kode under utvikling. Google tildelte Code Intelligence $25 000 for sitt arbeid med Log4j fuzzing.
“Siden Jazzer er en del av OSS-Fuzz, er alle integrerte åpen kildekode-prosjekter skrevet i Java og andre JVM-baserte språk, nå kontinuerlig søkt etter lignende sårbarheter,” bemerker Code Intelligence i en pressemelding.
Jazzer er også i stand til å oppdage eksterne JNDI-oppslag – et sterkt tegn på at potensielle angripere skanner et nettverk for feilen.
JNDI (Java Naming and Directory Interface) er et grensesnitt for tilkobling til kataloger i Lightweight Directory Access Protocol (LDAP)-servere, og feilen i Log4j finnes i implementeringen av JNDI.
Som Ciscos Talos-forskere forklarer, lar feilen en ekstern angriper bruke en enkel LDAP-forespørsel for å utløse sårbarheten i versjoner av Log4j før 2.15, og deretter hente en nyttelast fra en ekstern server og kjøre den lokalt på en sårbar enhet.
Apache Foundation ga denne uken ut Log4j versjon 2.16.0 for å fikse en annen, relatert feil som stammer fra JNDI som spores som CVE 2021-45046. Denne feilen tillot en angriper å lage datamønstre i et JNDI-meldingsoppslag og lamme en maskin med tjenestenekt (DoS).
Log4j 2.16.0 deaktiverer tilgang til JNDI som standard og begrenser standardprotokollene til Java, LDAP og LDAPS. Deaktivering av JNDI var tidligere et manuelt skritt for å dempe angrep mot den opprinnelige feilen.
Det meste er nå fokusert på leverandører som oppdaterer Log4j i sine produkter og sluttbrukerorganisasjoner som bruker oppdateringer etter hvert som de blir tilgjengelige. For eksempel har US Cybersecurity and Infrastructure Security Agency (CISA) gitt føderale byråer frist til 24. desember til å identifisere alle applikasjoner som er berørt av Log4Shell. Cisco, VMware, IBM og Oracle er opptatt med å utvikle patcher for sine berørte produkter.
LOG4J FEILDEKNING – HVORDAN HOLDE SELSKAPET DITT SIKKER
Log4j zero-day-feil: Hva du trenger å vite og hvordan du beskytter deg selv
Sikkerhetsadvarsel: Ny zero-day i Log4j Java-biblioteket blir allerede utnyttet
Log4j-feil kan være et problem for industrielle nettverk “i årene som kommer”< strong>
Googles OSS-Fuzz takler Log4j fra en annen vinkel, og tar sikte på å forhindre at utviklere ved et uhell legger inn feilen i nye programvareprosjekter som til slutt kan distribueres i produksjonsmiljøer.
“Sårbarheter som Log4Shell er en øyeåpner for industrien når det gjelder nye angrepsvektorer. Med OSS-Fuzz og Jazzer kan vi nå oppdage denne klassen av sårbarhet slik at de kan fikses før de blir et problem i produksjonskoden,” sier Jonathan Metzman fra Google Open Source Security Team.
Sikkerhet
Log4j-trussel: Hva du trenger å vite og hvordan du beskytter deg selv Ransomware i 2022: Vi er alle skrudd Microsoft Patch Tuesday: Zero-day utnyttet for å spre Emotet malware Kronos rammet med løsepengevare, advarer om datainnbrudd og “flere ukers” utfall. De beste VPN-ene for små og hjemmebaserte bedrifter i 2021 Open Source | Sky | Mobilitet | Enterprise Software | Kunstig intelligens | Maskinvare