Το λογισμικό καταγραφής έχει γίνει πρωτοσέλιδο για την ανασφάλεια στον κυβερνοχώρο πολλές φορές στο παρελθόν, ιδίως στην περίπτωση του σφάλματος Apache Log4J που είναι γνωστό ως Log4Shell ότι κατεστραμμένα Χριστούγεννα για πολλούς sysadmin στο τέλος του 2021.
Η τρύπα Log4Shell ήταν α σφάλμα ασφαλείας στην ίδια τη διαδικασία καταγραφής, και συνοψίζεται στο γεγονός ότι πολλά συστήματα αρχείων καταγραφής σάς επιτρέπουν να γράψετε κάτι που σχεδόν ισοδυναμεί με «μίνι-προγράμματα» ακριβώς στη μέση του κειμένου που θέλετε να καταγράψετε, προκειμένου να κάνετε τα αρχεία καταγραφής σας «πιο έξυπνα » και πιο εύκολο στην ανάγνωση.
Για παράδειγμα, εάν ζητήσατε από το Log4J να καταγράψει το κείμενο I AM DUCK
, το Log4J θα έκανε ακριβώς αυτό.
Αλλά αν συμπεριλάβατε τους ειδικούς χαρακτήρες σήμανσης ${...}
, μετά από επιλέγοντας προσεκτικά Αυτό που εισαγάγατε ανάμεσα στις αγκύλες, θα μπορούσατε να πείτε στον διακομιστή καταγραφής: «Μην καταγράφετε αυτούς τους πραγματικούς χαρακτήρες. Αντίθετα, να τα αντιμετωπίζω ως ένα μίνι-πρόγραμμα για να τρέξω για μένα και να εισαγάγετε την απάντηση που επιστρέφει."
Έτσι, επιλέγοντας ακριβώς το σωστό είδος παγιδευμένων δεδομένων για να καταγράφει ένας διακομιστής, όπως μια κρυφά κατασκευασμένη διεύθυνση email ή ένα ψεύτικο επώνυμο, θα μπορούσατε ίσως, απλώς ίσως, να στείλετε εντολές προγράμματος στον καταγραφέα μεταμφιεσμένο σε απλό παλιό κείμενο.
Γιατί ευελιξία! Γιατί ευκολία! Όχι όμως για ασφάλεια!
Αυτή τη φορά
Αυτή τη φορά, το σφάλμα που σχετίζεται με την καταγραφή για το οποίο σας προειδοποιούμε είναι CVE-2023-20864, μια τρύπα ασφαλείας in Aria Operations for Logs της VMWare προϊόν (AOfL, που παλαιότερα ήταν γνωστό ως vRealize Log Insight).
Τα κακά νέα είναι ότι η VMWare έχει δώσει σε αυτό το σφάλμα βαθμολογία «κίνδυνο ασφαλείας» CVSS 9.8/10, πιθανώς επειδή το ελάττωμα μπορεί να γίνει κατάχρηση για αυτό που είναι γνωστό ως απομακρυσμένη εκτέλεση κώδικα (RCE), ακόμη και από χρήστες δικτύου που δεν έχουν συνδεθεί (ή δεν έχουν λογαριασμό) στο σύστημα AOfL.
Το RCE αναφέρεται στον τύπο της τρύπας ασφαλείας που περιγράψαμε στο παραπάνω παράδειγμα Log4Shell και σημαίνει ακριβώς αυτό που λέει: ένας απομακρυσμένος εισβολέας μπορεί να στείλει ένα κομμάτι από αυτά που υποτίθεται ότι είναι απλά παλιά δεδομένα, αλλά αυτά καταλήγουν να τα χειρίζεται το σύστημα ως μία ή περισσότερες προγραμματικές εντολές.
Με απλά λόγια, ο εισβολέας μπορεί να εκτελέσει ένα πρόγραμμα της επιλογής του, με τρόπο της επιλογής του, σχεδόν σαν να είχε τηλεφωνήσει σε έναν sysadmin και να είπε: «Συνδεθείτε χρησιμοποιώντας τον δικό σας λογαριασμό, ανοίξτε ένα παράθυρο τερματικού και στη συνέχεια εκτελέστε την ακόλουθη σειρά εντολών για μένα, χωρίς αμφιβολία."
Τα καλά νέα σε αυτήν την περίπτωση, όσο μπορούμε να πούμε, είναι ότι το σφάλμα δεν μπορεί να προκληθεί απλώς με κατάχρηση της διαδικασίας καταγραφής μέσω παγιδευμένων δεδομένων που αποστέλλονται σε οποιονδήποτε διακομιστή που τυχαίνει να διατηρεί αρχεία καταγραφής (το οποίο είναι σχεδόν κάθε διακομιστής ποτέ).
Αντίθετα, το σφάλμα βρίσκεται στην ίδια την υπηρεσία "log insight" του AOfL, επομένως ο εισβολέας θα χρειαστεί πρόσβαση στο τμήμα του δικτύου σας όπου εκτελούνται πραγματικά οι υπηρεσίες AOfL.
Υποθέτουμε ότι τα περισσότερα δίκτυα όπου χρησιμοποιείται το AOfL δεν έχουν τις υπηρεσίες AOfL ανοιχτές σε οποιονδήποτε και σε όλους στο διαδίκτυο, επομένως αυτό το σφάλμα είναι απίθανο να είναι άμεσα προσβάσιμο και να ενεργοποιηθεί από τον κόσμο γενικότερα.
Αυτό είναι λιγότερο δραματικό από το Log4Shell, όπου το σφάλμα θα μπορούσε, θεωρητικά τουλάχιστον, να προκληθεί από την κυκλοφορία δικτύου που αποστέλλεται σε σχεδόν οποιονδήποτε διακομιστή στο δίκτυο που τύχαινε να χρησιμοποιήσει τον κώδικα καταγραφής Log4J, συμπεριλαμβανομένων συστημάτων όπως διακομιστές ιστού που υποτίθεται ότι είναι δημόσια προσβάσιμη.
Τι να κάνω;
- Patch το συντομότερο μπορείτε. Οι εκδόσεις που επηρεάζονται προφανώς περιλαμβάνουν VMware Aria Operations for Logs 8.10.2, που πρέπει να ενημερωθεί σε 8.12. και μια παλαιότερη γεύση προϊόντος γνωστή ως VMware Cloud Foundation έκδοση 4.x, το οποίο χρειάζεται πρώτα ενημέρωση στην έκδοση 4.5 και στη συνέχεια αναβάθμιση σε VMware Aria Operations for Logs 8.12.
- Εάν δεν μπορείτε να επιδιορθώσετε, μειώστε την πρόσβαση στις υπηρεσίες AOfL όσο μπορείτε. Ακόμα κι αν αυτό είναι ελαφρώς ενοχλητικό για την ομάδα λειτουργιών IT, μπορεί να μειώσει σημαντικά τον κίνδυνο ένας απατεώνας που έχει ήδη θέση στο δίκτυό σας να φτάσει και να κάνει κατάχρηση των υπηρεσιών σας AOfL, και έτσι να αυξήσει και να επεκτείνει τη μη εξουσιοδοτημένη πρόσβασή του.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- Minting the Future με την Adryenn Ashley. Πρόσβαση εδώ.
- πηγή: https://nakedsecurity.sophos.com/2023/04/21/vmware-patches-break-and-enter-hole-in-logging-tools-update-now/
- :έχει
- :είναι
- :δεν
- $UP
- 1
- 10
- 2021
- 8
- 9
- a
- Σχετικα
- πάνω από
- Απόλυτος
- κατάχρηση
- πρόσβαση
- προσιτός
- Λογαριασμός
- πραγματικά
- διεύθυνση
- Όλα
- ήδη
- ποσό
- an
- και
- απάντηση
- κάθε
- κάποιος
- Apache
- έκταση
- AS
- At
- συγγραφέας
- αυτόματη
- πίσω
- background-image
- Κακός
- BE
- επειδή
- πριν
- είναι
- μεταξύ
- σύνορο
- Κάτω μέρος
- Έντομο
- αλλά
- by
- CAN
- περίπτωση
- Κέντρο
- χαρακτήρες
- επιλογή
- επιλέγοντας
- Backup
- κωδικός
- χρώμα
- θα μπορούσε να
- κάλυμμα
- Τομή
- ημερομηνία
- περιγράφεται
- κατευθείαν
- Display
- Μην
- κάτω
- δραματικά
- ευκολότερη
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- τελειώνει
- Even
- ΠΑΝΤΑ
- Κάθε
- όλοι
- ακριβώς
- παράδειγμα
- επεκτείνουν
- απομίμηση
- Μόδα
- Όνομα
- ελάττωμα
- Εξής
- Για
- Θεμέλιο
- δεδομένου
- καλός
- σε μεγάλο βαθμό
- συνέβη
- συμβαίνει
- Έχω
- Τίτλοι
- ύψος
- Τρύπα
- φτερουγίζω
- HTML
- HTTPS
- in
- περιλαμβάνουν
- περιλαμβάνονται
- Συμπεριλαμβανομένου
- Αυξάνουν
- αντί
- Internet
- σε
- IT
- εαυτό
- μόλις
- Διατήρηση
- γνωστός
- large
- log4j
- Log4Shell
- που
- κάνω
- πολοί
- Περιθώριο
- max-width
- μέσα
- Μέσο
- περισσότερο
- πλέον
- Ανάγκη
- ανάγκες
- δίκτυο
- επισκεψιμότητα δικτύου
- δίκτυα
- νέα
- κανονικός
- ιδιαίτερα
- of
- Παλιά
- on
- ONE
- ανοίξτε
- άνοιξε
- λειτουργίες
- or
- τάξη
- επί
- δική
- μέρος
- Patch
- Patches
- Παύλος
- Σκέτη
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- θέση
- Δημοσιεύσεις
- αρκετά
- διαδικασια μας
- Προϊόν
- Πρόγραμμα
- προγραμματικός
- δημοσίως
- βάζω
- ερώτηση
- φθάσουν
- Διάβασε
- μείωση
- αναφέρεται
- μακρινός
- Κίνδυνος
- γύρος
- τρέξιμο
- Είπε
- λέει
- σκορ
- ασφάλεια
- Ακολουθία
- Διακομιστές
- υπηρεσία
- Υπηρεσίες
- απλά
- So
- λογισμικό
- στέρεο
- κάπου
- ειδική
- τέτοιος
- υποτιθεμένος
- SVG
- σύστημα
- συστήματα
- πει
- τερματικό
- από
- ότι
- Η
- ο κόσμος
- τους
- Τους
- εκ τούτου
- Αυτοί
- αυτό
- ώρα
- φορές
- προς την
- εργαλεία
- κορυφή
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- μετάβαση
- διαφανής
- θεραπεία
- ενεργοποιήθηκε
- Ενημέρωση
- ενημερώθηκε
- ενημέρωση
- URL
- χρήση
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιώντας
- εκδοχή
- μέσω
- vmware
- προειδοποίηση
- ήταν
- we
- ιστός
- ήταν
- Τι
- Ποιό
- Ο ΟΠΟΊΟΣ
- πλάτος
- χωρίς
- κόσμος
- θα
- γράφω
- Εσείς
- Σας
- zephyrnet