Jonathan Greig er en journalist baseret i New York City.
Fuld biografisk den 23. december 2021 | Emne: Sikkerhed
CISA udgav sin egen Log4J-scanner i denne uge sammen med et væld af andre scannere udgivet af cybersikkerhedsvirksomheder og forskere.
Den open source Log4j-scanner er afledt af scannere skabt af andre medlemmer af open source-fællesskabet, og den er designet til at hjælpe organisationer med at identificere potentielt sårbare webtjenester, der er påvirket af Log4j-sårbarhederne.
CISA sagde, at det ændrede en Log4J-scanner skabt af sikkerhedsfirmaet FullHunt og fik hjælp fra andre forskere som Philipp Klaus og Moritz Bechler.
Depotet leverer en scanningsløsning til CVE-2021-44228 og CVE-2021-45046. CISA sagde, at det understøtter DNS-callback for sårbarhedsopdagelse og -validering, mens det giver fuzzing for HTTP POST-dataparametre, fuzzing for JSON-dataparametre og understøttelse af lister over URL'er.
Den har også WAF Bypass nyttelast og fuzzing for mere end 60 HTTP-anmodningsheadere.
CrowdStrike udgav på samme måde sin egen gratis Log4J-scanner kaldet CrowdStrike Archive Scan Tool eller “CAST”.
Yotam Perkal, leder af sårbarhedsforskning hos Rezilion, lavede en test af nogle af Log4J-scannerne og fandt ud af, at mange ikke var i stand til at finde alle tilfælde af sårbarheden.
Rezilion
“Den største udfordring ligger i at opdage Log4Shell i pakket software i produktionsmiljøer: Java-filer (såsom Log4j) kan indlejres et par lag dybt ind i andre filer – hvilket betyder, at en overfladisk søgning efter filen ikke finder den,” Perkal sagde. “Desuden kan de være pakket i mange forskellige formater, hvilket skaber en reel udfordring ved at grave dem ind i andre Java-pakker.”
Rezilion testede de ni scannere, der oftest blev brugt af udviklere og it-teams, mod et datasæt af pakkede Java-filer, hvor Log4j var indlejret og pakket i forskellige formater.
Perkal sagde, at mens nogle scannere klarede sig bedre end andre, var ingen i stand til at finde alle formater. Ifølge Perkal illustrerer forskningen “begrænsningerne ved statisk scanning ved detektering af Log4j-forekomster.”
“Det minder os også om, at detektionsevner kun er lige så gode som din detektionsmetode. Scannere har blinde pletter,” forklarede Perkal .
“Sikkerhedsledere kan ikke blindt antage, at forskellige open source- eller endda værktøjer af kommerciel kvalitet vil være i stand til at detektere alle edge-tilfælde. Og i tilfældet med Log4j er der mange edge-instanser mange steder. “
Sikkerhed
Log4j-trussel:10 spørgsmål, du skal stille Apache frigiver ny 2.17.0 patch til Log4j, løser DoS-sårbarhed Politiet finder 225 millioner stjålne adgangskoder på en hacket server. Er din en af dem? Hvordan dette firma ikke betalte, da det blev ramt af ransomware De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Regering | Sikkerheds-tv | Datastyring | CXO | Datacentre