Logging-Software hat schon oft Schlagzeilen in Bezug auf Cybersicherheit gemacht, insbesondere im Fall des Apache Log4J-Bugs, der als bekannt ist Log4Shell zur Verbesserung der Gesundheitsgerechtigkeit ruiniertes Weihnachten für viele Sysadmins Ende 2021.
Das Log4Shell-Loch war a Sicherheitsfehler im Protokollierungsprozess selbst, und es läuft darauf hinaus, dass viele Protokolldateisysteme es Ihnen ermöglichen, fast „Miniprogramme“ mitten in den Text zu schreiben, den Sie protokollieren möchten, um Ihre Protokolldateien „intelligenter“ zu machen “ und einfacher zu lesen.
Zum Beispiel, wenn Sie Log4J gebeten haben, den Text zu protokollieren I AM DUCK
, Log4J würde genau das tun.
Aber wenn Sie die speziellen Markup-Zeichen enthalten ${...}
, dann durch sorgfältig auswählen was Sie zwischen die verschnörkelten Klammern eingefügt haben, könnten Sie dem Logging-Server so gut wie sagen: „Loggen Sie diese tatsächlichen Zeichen nicht; Behandeln Sie sie stattdessen wie ein Miniprogramm, das für mich ausgeführt wird, und fügen Sie die Antwort ein, die zurückkommt.
Indem Sie also genau die richtige Art von Sprengfallendaten zum Protokollieren für einen Server auswählen, z. B. eine hinterhältig konstruierte E-Mail-Adresse oder einen falschen Nachnamen, können Sie vielleicht, nur vielleicht, Programmbefehle an den Logger senden, die als einfacher alter Text getarnt sind.
Weil Flexibilität! Weil Bequemlichkeit! Aber nicht wegen Sicherheit!
Diesmal rund
Diesmal ist der protokollierungsbezogene Fehler, vor dem wir Sie warnen, der CVE-2023-20864, eine Sicherheitslücke in Aria-Operationen von VMWare für Protokolle Produkt (AOfL, früher bekannt als vRealize Log Insight).
Die schlechte Nachricht ist, dass VMWare diesem Fehler eine CVSS-Bewertung für „Sicherheitsgefahr“ von 9.8/10 gegeben hat, vermutlich weil der Fehler für das, was als sogenannter Fehler bezeichnet wird, missbraucht werden kann Remote-Code-Ausführung (RCE), auch von Netzwerkbenutzern, die sich noch nicht beim AOfL-System angemeldet haben (oder dort kein Konto haben).
RCE bezieht sich auf die Art von Sicherheitslücke, die wir im obigen Log4Shell-Beispiel beschrieben haben, und es bedeutet genau das, was es sagt: Ein entfernter Angreifer kann einen Teil vermeintlich einfacher alter Daten übertragen, aber das wird letztendlich vom System verarbeitet als ein oder mehrere programmatische Befehle.
Einfach ausgedrückt, der Angreifer kann ein Programm seiner Wahl auf eine Art und Weise seiner Wahl ausführen, fast so, als ob er einen Systemadministrator angerufen und gesagt hätte: „Bitte melden Sie sich mit Ihrem eigenen Konto an, öffnen Sie ein Terminalfenster und Führen Sie dann ohne Frage die folgende Befehlsfolge für mich aus.
Die gute Nachricht in diesem Fall ist, soweit wir das beurteilen können, dass der Fehler nicht einfach dadurch ausgelöst werden kann, dass der Protokollierungsprozess über mit Sprengfallen versehene Daten missbraucht wird, die an jeden Server gesendet werden, der zufällig Protokolle führt (was so ziemlich jeder ist Server jemals).
Stattdessen befindet sich der Fehler im AOfL-Dienst „Log Insight“ selbst, sodass der Angreifer Zugriff auf den Teil Ihres Netzwerks benötigen würde, in dem die AOfL-Dienste tatsächlich ausgeführt werden.
Wir gehen davon aus, dass die meisten Netzwerke, in denen AOfL verwendet wird, ihre AOfL-Dienste nicht für jedermann im Internet geöffnet haben, daher ist es unwahrscheinlich, dass dieser Fehler weltweit direkt zugänglich und auslösbar ist.
Das ist weniger dramatisch als bei Log4Shell, wo der Fehler zumindest theoretisch durch Netzwerkverkehr ausgelöst werden könnte, der an fast jeden Server im Netzwerk gesendet wird, der zufällig den Log4J-Protokollierungscode verwendet, einschließlich Systeme wie Webserver, die dies tun sollten öffentlich zugänglich sein.
Was ist zu tun?
- Patchen Sie so schnell wie möglich. Betroffene Versionen beinhalten offenbar VMware Aria-Operationen für Protokolle 8.10.2, die auf 8.12 aktualisiert werden muss; und ein älteres Produktaroma bekannt als VMware Cloud Foundation-Version 4.x, das zuerst auf Version 4.5 aktualisiert werden muss und dann auf VMware Aria Operations for Logs 8.12 aktualisiert werden muss.
- Wenn Sie nicht patchen können, schränken Sie den Zugriff auf Ihre AOfL-Dienste so weit wie möglich ein. Auch wenn dies für Ihr IT-Betriebsteam etwas unpraktisch ist, kann es das Risiko erheblich verringern, dass ein Gauner, der bereits irgendwo in Ihrem Netzwerk Fuß gefasst hat, Ihre AOfL-Dienste erreichen und missbrauchen und dadurch seinen unbefugten Zugriff erhöhen und erweitern kann.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/04/21/vmware-patches-break-and-enter-hole-in-logging-tools-update-now/
- :hast
- :Ist
- :nicht
- $UP
- 1
- 10
- 2021
- 8
- 9
- a
- Über Uns
- oben
- Absolute
- Missbrauch
- Zugang
- zugänglich
- Konto
- berührt das Schneidwerkzeug
- Adresse
- Alle
- bereits
- Betrag
- an
- und
- beantworten
- jedem
- jemand
- Apache
- Luft
- AS
- At
- Autor
- Auto
- Zurück
- background-image
- Badewanne
- BE
- weil
- Bevor
- Sein
- zwischen
- Grenze
- Boden
- Fehler
- aber
- by
- CAN
- Häuser
- Center
- Zeichen
- Wahl
- Auswahl
- Cloud
- Code
- Farbe
- könnte
- Abdeckung
- Schneiden
- technische Daten
- beschrieben
- Direkt
- Display
- Nicht
- nach unten
- dramatisch
- einfacher
- endet
- Sogar
- ÜBERHAUPT
- Jedes
- jedermann
- genau
- Beispiel
- erweitern
- Fälschung
- Fashion
- Vorname
- Fehler
- Folgende
- Aussichten für
- Foundation
- gegeben
- gut
- sehr
- passiert
- das passiert
- Haben
- Schlagzeilen
- Höhe
- Loch
- schweben
- HTML
- HTTPS
- in
- das
- inklusive
- Einschließlich
- Erhöhung
- beantragen müssen
- Internet
- in
- IT
- selbst
- nur
- Behalten
- bekannt
- grosse
- log4j
- Log4Shell
- gemacht
- um
- viele
- Marge
- max-width
- Mittel
- Mitte
- mehr
- vor allem warme
- Need
- Bedürfnisse
- Netzwerk
- Netzwerktraffic
- Netzwerke
- News
- normal
- vor allem
- of
- Alt
- on
- EINEM
- XNUMXh geöffnet
- geöffnet
- Einkauf & Prozesse
- or
- Auftrag
- übrig
- besitzen
- Teil
- Patch
- Patches
- Alexander
- Ebene
- Plato
- Datenintelligenz von Plato
- PlatoData
- Position
- BLOG-POSTS
- ziemlich
- Prozessdefinierung
- Produkt
- Programm
- Programmatic
- öffentlich
- setzen
- Frage
- erreichen
- Lesen Sie mehr
- Veteran
- bezieht sich
- entfernt
- Risiko
- rund
- Führen Sie
- Said
- sagt
- Ergebnis
- Sicherheitdienst
- Reihenfolge
- Fertige Server
- Lösungen
- einfach
- So
- Software
- solide
- irgendwo
- besondere
- so
- vermutet
- SVG
- System
- Systeme und Techniken
- Team
- erzählen
- Terminal
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- die Welt
- ihr
- Sie
- damit
- Diese
- fehlen uns die Worte.
- Zeit
- mal
- zu
- Werkzeuge
- Top
- der Verkehr
- Übergang
- transparent
- behandeln
- ausgelöst
- Aktualisierung
- aktualisiert
- Aktualisierung
- URL
- -
- benutzt
- Nutzer
- Verwendung von
- Version
- VMware
- Warnung
- wurde
- we
- Netz
- waren
- Was
- welche
- WHO
- Breite
- ohne
- weltweit wie ausgehandelt und gekauft ausgeführt wird.
- würde
- schreiben
- Du
- Ihr
- Zephyrnet