Jonathan Greig er en journalist basert i New York City.
Full Bio 23. desember 2021 | Emne: Sikkerhet
CISA ga ut sin egen Log4J-skanner denne uken sammen med en rekke andre skannere publisert av cybersikkerhetsselskaper og forskere.
Log4j-skanneren med åpen kildekode er avledet fra skannere laget av andre medlemmer av åpen kildekode-fellesskapet, og den er utviklet for å hjelpe organisasjoner med å identifisere potensielt sårbare webtjenester som er berørt av Log4j-sårbarhetene.
CISA sa at de modifiserte en Log4J-skanner laget av sikkerhetsselskapet FullHunt og fikk hjelp fra andre forskere som Philipp Klaus og Moritz Bechler.
Depotet gir en skanneløsning for CVE-2021-44228 og CVE-2021-45046. CISA sa at den støtter DNS-tilbakekalling for sårbarhetsoppdagelse og validering, samtidig som den gir fuzzing for HTTP POST-dataparametere, fuzzing for JSON-dataparametere og støtte for lister over URL-er.
Den har også WAF Bypass nyttelast og fuzzing for mer enn 60 HTTP-forespørselshoder.
CrowdStrike lanserte på samme måte sin egen gratis Log4J-skanner kalt CrowdStrike Archive Scan Tool, eller “CAST.”
Yotam Perkal, leder for sårbarhetsforskning ved Rezilion, gjorde en test av noen av Log4J-skannerne, og fant ut at mange ikke klarte å finne alle forekomster av sårbarheten.
Rezilion
“Den største utfordringen ligger i å oppdage Log4Shell i pakket programvare i produksjonsmiljøer: Java-filer (som Log4j) kan nestes et par lag dypt inn i andre filer – noe som betyr at et grunt søk etter filen ikke finner den,” Perkal sa. “Dessverre kan de være pakket i mange forskjellige formater, noe som skaper en reell utfordring med å grave dem inn i andre Java-pakker.”
Rezilion testet de ni skannerne som oftest ble brukt av utviklere og IT-team mot et datasett med pakkede Java-filer der Log4j ble nestet og pakket i forskjellige formater.
Perkal sa at selv om noen skannere gjorde det bedre enn andre, var ingen det i stand til å oppdage alle formater. I følge Perkal illustrerer forskningen “begrensningene ved statisk skanning ved å oppdage Log4j-forekomster.”
“Det minner oss også om at deteksjonsevnene bare er like gode som deteksjonsmetoden din. Skannere har blindflekker,” forklarte Perkal .
“Sikkerhetsledere kan ikke blindt anta at ulike verktøy av åpen kildekode eller til og med kommersiell kvalitet vil være i stand til å oppdage alle edge-tilfeller. Og i tilfellet med Log4j er det mange edge-forekomster mange steder. “
Sikkerhet
Log4j-trussel:10 spørsmål du må stille Apache lanserer ny 2.17.0-oppdatering for Log4j, løser DoS-sårbarhet Politiet finner 225 millioner stjålne passord på en hacket server. Er din en av dem? Hvordan dette selskapet ikke betalte da de ble rammet av løsepengevare De beste VPN-ene for små og hjemmebaserte bedrifter i 2021 Regjeringen | Sikkerhets-TV | Databehandling | CXO | Datasentre