Logitarkvara on küberturvalisuse teemadel korduvalt pealkirju teinud, eriti Apache Log4J vea puhul, mida tuntakse kui Log4Shell et rikutud jõulud paljude süsteemiadministraatorite jaoks 2021. aasta lõpus.
Log4Shelli auk oli a turvaviga logimisprotsessis endas ja taandub tõsiasjale, et paljud logifailisüsteemid võimaldavad teil logifailide targemaks muutmiseks kirjutada peaaegu "miniprogrammid" otse selle teksti keskele, mida soovite logida. ” ja seda on lihtsam lugeda.
Näiteks kui palusite Log4J-l teksti logida I AM DUCK
, Log4J teeks just seda.
Aga kui lisasite spetsiaalsed märgistusmärgid ${...}
, siis poolt hoolikalt valides selle, mille sa säbruliste sulgude vahele sisestasid, võid sama hästi kui öelda logiserverile: „Ära logi neid tegelikke märke; selle asemel käsitlege neid minu jaoks käivitatava miniprogrammina ja sisestage vastus, mis tuleb tagasi.
Seega, valides serveri jaoks logimiseks just õiget sorti varjatud andmed, nagu salakaval konstrueeritud e-posti aadress või võlts perekonnanimi, võiksite ehk, lihtsalt võib-olla, saata logijale programmikäske, mis on maskeeritud lihtsa vana tekstina.
Sest paindlikkus! Sest mugavus! Aga mitte turvalisuse pärast!
Seekord ringi
Seekord on logimisega seotud viga, mille eest hoiatame teid CVE-2023-20864on turvaauk in VMWare'i Aria operatsioonid logidele toode (AOfL, mida varem tunti kui vRealize Logi Insight).
Halb uudis on see, et VMWare on andnud sellele veale CVSS-i "turvaohu" hindeks 9.8/10, arvatavasti seetõttu, et viga saab kuritarvitada nn. koodi kaugkäivitamine (RCE), isegi võrgukasutajate poolt, kes pole veel AOfL-i süsteemi sisse loginud (või kellel pole kontot).
RCE viitab turvaaugu tüübile, mida kirjeldasime ülaltoodud Log4Shelli näites, ja see tähendab täpselt seda, mida see ütleb: kaugründaja võib saata üle tüki, mis peaks olema tavalised vanad andmed, kuid sellega tegeleb lõpuks süsteem. ühe või mitme programmilise käsuna.
Lihtsamalt öeldes saab ründaja käivitada enda valitud programmi enda valitud viisil, peaaegu nagu oleks ta helistanud süsteemiadministraatorile ja öelnud: "Palun logige sisse oma kontoga, avage terminaliaken ja seejärel käivitage minu jaoks ilma küsimusteta järgmine käskude jada."
Hea uudis sel juhul, niipalju kui me oskame öelda, on see, et viga ei saa käivitada lihtsalt logimisprotsessi kuritarvitamise teel, mis saadetakse mis tahes serverisse, mis lihtsalt juhtub logisid pidama (mis on peaaegu iga server kunagi).
Selle asemel on viga AOfL-i logiülevaate teenuses endas, nii et ründajal oleks vaja juurdepääsu teie võrgu osale, kus AOfL-i teenused tegelikult töötavad.
Eeldame, et enamiku võrkude, kus AOfL-i kasutatakse, AOfL-i teenused ei ole Internetis kellelegi ja kõigile avatud, seega pole tõenäoline, et maailm laiemalt on see viga otseselt juurdepääsetav ja käivitatav.
See on vähem dramaatiline kui Log4Shell, kus vea võib vähemalt teoreetiliselt käivitada võrguliiklus, mis saadetakse peaaegu igasse võrgu serverisse, mis juhtus kasutama Log4J logimiskoodi, sealhulgas süsteemid, nagu veebiserverid, mis pidid olema avalikult juurdepääsetav.
Mida teha?
- Paigutage niipea kui võimalik. Mõjutatud versioonid hõlmavad ilmselt VMware Aria operatsioonid logidele 8.10.2, mis vajab uuendamist versioonile 8.12; ja vanema toote maitse, mida tuntakse kui VMware Cloud Foundationi versioon 4.x, mis vajab esmalt värskendamist versioonile 4.5 ja seejärel versioonile VMware Aria Operations for Logs 8.12.
- Kui te ei saa paika panna, piirake juurdepääsu oma AOfL-i teenustele nii palju kui võimalik. Isegi kui see on teie IT-meeskonnale veidi ebamugav, võib see oluliselt vähendada riski, et kelm, kellel on juba kuskil teie võrgus tugipunkt, võib teie AOfL-i teenuseid kuritarvitada ning seeläbi oma volitamata juurdepääsu suurendada ja laiendada.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
- Allikas: https://nakedsecurity.sophos.com/2023/04/21/vmware-patches-break-and-enter-hole-in-logging-tools-update-now/
- :on
- :on
- :mitte
- $ UP
- 1
- 10
- 2021
- 8
- 9
- a
- MEIST
- üle
- absoluutne
- kuritarvitamise
- juurdepääs
- juurdepääsetav
- konto
- tegelikult
- aadress
- Materjal: BPA ja flataatide vaba plastik
- juba
- summa
- an
- ja
- vastus
- mistahes
- keegi
- Apache
- piirkond
- AS
- At
- autor
- auto
- tagasi
- background-image
- Halb
- BE
- sest
- enne
- on
- vahel
- piir
- põhi
- Bug
- kuid
- by
- CAN
- juhul
- keskus
- märki
- valik
- valimine
- Cloud
- kood
- värv
- võiks
- cover
- lõigatud
- andmed
- kirjeldatud
- otse
- Ekraan
- Ära
- alla
- dramaatiliselt
- lihtsam
- lõppeb
- Isegi
- KUNAGI
- Iga
- igaüks
- täpselt
- näide
- laiendama
- võlts
- mood
- esimene
- viga
- Järel
- eest
- Sihtasutus
- antud
- hea
- suuresti
- juhtus
- juhtub
- Olema
- Pealkirjad
- kõrgus
- Auk
- hõljuma
- HTML
- HTTPS
- in
- sisaldama
- lisatud
- Kaasa arvatud
- Suurendama
- selle asemel
- Internet
- sisse
- IT
- ise
- lihtsalt
- hoidma
- teatud
- suur
- log4j
- Log4Shell
- tehtud
- tegema
- palju
- Varu
- max laiuse
- vahendid
- Kesk-
- rohkem
- kõige
- Vajadus
- vajadustele
- võrk
- võrguliiklus
- võrgustikud
- uudised
- normaalne
- eelkõige
- of
- Vana
- on
- ONE
- avatud
- avatud
- Operations
- or
- et
- üle
- enda
- osa
- Plaaster
- Paikade
- Paul
- tavaline
- Platon
- Platoni andmete intelligentsus
- PlatoData
- positsioon
- Postitusi
- ilus
- protsess
- Toode
- Programm
- programmiline
- avalikult
- panema
- küsimus
- jõudma
- Lugenud
- vähendama
- viitab
- kauge
- Oht
- ümber
- jooks
- Ütlesin
- ütleb
- skoor
- turvalisus
- Jada
- Serverid
- teenus
- Teenused
- lihtsalt
- So
- tarkvara
- tahke
- kuskil
- eriline
- selline
- peaks
- SVG
- süsteem
- süsteemid
- meeskond
- öelda
- terminal
- kui
- et
- .
- maailm
- oma
- Neile
- sellega
- Need
- see
- aeg
- korda
- et
- töövahendid
- ülemine
- liiklus
- üleminek
- läbipaistev
- käsitlema
- vallandas
- Värskendused
- ajakohastatud
- ajakohastamine
- URL
- kasutama
- Kasutatud
- Kasutajad
- kasutamine
- versioon
- kaudu
- vmware
- hoiatus
- oli
- we
- web
- olid
- M
- mis
- WHO
- laius
- ilma
- maailm
- oleks
- kirjutama
- sa
- Sinu
- sephyrnet