Jonathan Greig er en journalist basert i New York City.
Full Bio 13. desember 2021 | Emne: Sikkerhet
For de som ikke kan lappe Apache Log4Shell-sårbarheten, har cybersikkerhetsfirmaet Cybereason gitt ut det de kalte en “fix” for 0-dagers utnyttelse. Cybereason oppfordret folk til å lappe systemene sine så snart som mulig, men for de som ikke kan oppdatere systemene sine eller gjøre det umiddelbart, har de laget et verktøy de kaller “Logout4shell.”
Det er fritt tilgjengelig på GitHub og Cybereason sa at det “er en relativt enkel løsning som bare krever grunnleggende Java-ferdigheter for å implementere.”
“Kort sagt, feilrettingen bruker selve sårbarheten til å sette flagget som slår den av. Fordi sårbarheten er så lett å utnytte og så allestedsnærværende – er det en av de få måtene å lukke den på. scenarier,” sa Yonatan Striem-Amit, CTO i Cybereason.
“Du kan lukke sårbarheten permanent ved å få serveren til å lagre en konfigurasjonsfil, men det er et vanskeligere forslag. Den enkleste løsningen er å sette opp en server som skal laste ned og deretter kjøre en klasse som endrer serverens konfigurasjon til ikke å lastes inn. ting lenger.”
“Vaksinen” fikk en blandet respons fra eksperter, noen av dem berømmet selskapet for å trappe opp mens andre sa at det ikke var på langt nær nok til å beskytte de som ble berørt av sårbarheten.
Dr. Richard Ford, CTO i Praetorian, sa at Log4j-sårbarheten kan være subtil, og selv om den noen ganger avsløres med enkel skanning, blir den også ofte funnet begravd dypt i kundeinfrastrukturen, hvor det kan være vanskeligere å utløse.
“Av denne grunn er jeg bekymret for at noen av de velmenende svarene jeg har sett fra industrien kan forårsake langsiktige problemer. Når det gjelder Logout4Shell, er det ikke alltid like trivielt å utnytte som å legge inn en enkel streng i ' et sårbart felt.' Det kan være vanskelig å vite hvilket felt som er sårbart, og med mange mennesker som nå filtrerer trafikk underveis er det ikke trivielt å vite at strengen din nådde serveren intakt,” forklarte Ford.
“Hvis vi utilsiktet gir en kunde inntrykk av at bare å sette ${$jnfi… i en streng er godt nok, kan folk ende opp med en falsk følelse av sikkerhet. I tillegg kan generisk patching av en server ha ubehagelige utilsiktede konsekvenser, og det er opp til kundene å finne ut hvilke risikoer de kan tolerere i et produksjonssystem. Cybereasons verktøy er en interessant tilnærming, men vil ikke anbefale at en kunde bare stoler på det.»
Randoris Aaron Portnoy sa hot patching løsninger som dette kan være effektive stopp-gap-reduksjoner, men denne løsningen vil bare være effektiv i hele levetiden til Java Virtual Machine.
“Hvis applikasjonen eller systemet starter på nytt, må 'vaksinen' påføres på nytt. Den beste løsningen er å oppgradere log4j2-biblioteket og bruke standard-nekt brannmurregler på utgående trafikk for systemer som kan være følsomme,” sa Portnoy .
Bugcrowd CTO Casey Ellis bemerket at å kjøre dette uten tillatelse på andres infrastruktur “er nesten helt sikkert i strid med anti-hacking lover som CFAA, som skaper juridisk risiko uavhengig av om intensjonen er velvillig eller ondsinnet .”
“Selv om folk kan være velmenende, er det viktig for dem å forstå den juridiske risikoen det skaper for dem. Det er en lignende teknikk som FBI og DOJ gjorde tidligere på året for å redusere HAFNIUM-nettskjell på Exchange-servere, bare FBI hadde DOJs juridiske velsignelse,” sa Ellis.
“Bortsett fra det liker jeg den “kaotiske gode” naturen til denne løsningen – spesielt gitt kaoset som organisasjoner opplever når det gjelder å finne alle stedene som log4j kan eksistere i deres miljø. Skriptet tar i utgangspunktet løsningen som først ble flagget av Marcus Hutchins som deaktiverer indeksering og deretter bruker selve sårbarheten til å bruke den. Det faktum at løsninger som dette kommer ut så raskt, sier noe om hvor utbredt denne sårbarheten er, kompleksiteten ved å bruke en riktig oppdatering og det store antallet måter det kan bli utnyttet.”
Ellis la til at verktøyets effektivitet er begrenset fordi det ikke fungerer for versjoner før 2.10, krever omstart, og utnyttelsen må utløses riktig for å være effektiv. Selv når den kjører riktig, lar den fortsatt den sårbare koden være på plass, forklarte Ellis.
På grunn av kompleksiteten til regresjonstesting Log4j, sa Ellis at han allerede har hørt fra en rekke organisasjoner som forfølger løsningene i Cybereason-verktøyet som deres primære tilnærming.
Han forventer at i det minste noen bruker verktøyet selektivt og situasjonsbestemt, men sa at det er viktig å forstå at dette ikke er en løsning – det er en løsning med en rekke begrensninger.
“Den har et spennende potensiale som et verktøy i verktøykassen ettersom organisasjoner reduserer log4j-risiko, og hvis det er fornuftig for dem å bruke det, vil en av hovedårsakene være raskere risikoreduksjon,” sa Ellis .
Sikkerhet
Log4j-feil: Angripere gjør tusenvis av forsøk på å utnytte denne sårbarheten. Alle er utbrent. Det begynner å bli et sikkerhetsmareritt. De beste VPN-ene for små og hjemmebaserte bedrifter i 2021. Sjefene er motvillige til å bruke penger på nettsikkerhet. Da blir de hacket. Truffet av løsepengeprogramvare? Ikke gjør denne første åpenbare feilen Security TV | Databehandling | CXO | Datasentre