O software de registro já foi manchete de ciberinsegurança muitas vezes antes, principalmente no caso do bug do Apache Log4J conhecido como Log4Shell que natal arruinado para muitos administradores de sistemas no final de 2021.
O buraco Log4Shell foi um falha de segurança no próprio processo de registro, e resumiu-se ao fato de que muitos sistemas de arquivo de registro permitem que você escreva o que quase equivale a "mini-programas" bem no meio do texto que deseja registrar, a fim de tornar seus arquivos de registro "mais inteligentes ” e mais fácil de ler.
Por exemplo, se você pediu ao Log4J para registrar o texto I AM DUCK
, Log4J faria exatamente isso.
Mas se você incluiu os caracteres especiais de marcação ${...}
, então por escolhendo com cuidado o que você inseriu entre os colchetes ondulados, você poderia dizer ao servidor de registro: “Não registre esses caracteres reais; em vez disso, trate-os como um miniprograma a ser executado para mim e insira a resposta que retornar.
Então, escolhendo apenas o tipo certo de dados armadilhados para um servidor registrar, como um endereço de e-mail construído sorrateiramente ou um sobrenome falso, talvez você pudesse, apenas talvez, enviar comandos de programa para o registrador disfarçados de texto simples.
Porque flexibilidade! Porque comodidade! Mas não porque segurança!
desta vez
Desta vez, o bug relacionado ao registro sobre o qual estamos avisando é CVE-2023-20864, um brecha de segurança in Operações Aria do VMWare para logs produto (AOfL, que costumava ser conhecido como vRealize Log Insight).
A má notícia é que VMWare deu a este bug uma pontuação de “perigo de segurança” CVSS de 9.8/10, presumivelmente porque a falha pode ser abusada para o que é conhecido como execução remota de código (RCE), mesmo por usuários da rede que ainda não fizeram login (ou que não possuem uma conta) no sistema AOfL.
RCE refere-se ao tipo de falha de segurança que descrevemos no exemplo Log4Shell acima e significa exatamente o que diz: um invasor remoto pode enviar um pedaço do que deveria ser dados antigos simples, mas isso acaba sendo tratado pelo sistema como um ou mais comandos programáticos.
Simplificando, o invasor pode executar um programa de sua própria escolha, da maneira que escolher, quase como se tivesse telefonado para um administrador de sistema e dito: “Por favor, faça login usando sua própria conta, abra uma janela de terminal e então execute a seguinte sequência de comandos para mim, sem questionar.”
A boa notícia neste caso, tanto quanto podemos dizer, é que o bug não pode ser acionado simplesmente abusando do processo de log por meio de dados armadilhados enviados para qualquer servidor que por acaso mantenha logs (o que é praticamente todos os servidor de sempre).
Em vez disso, o bug está no próprio serviço AOfL “log insight”, então o invasor precisaria acessar a parte de sua rede onde os serviços AOfL realmente são executados.
Estamos assumindo que a maioria das redes em que o AOfL é usado não tem seus serviços AOfL abertos a todos na Internet, portanto, é improvável que esse bug seja diretamente acessível e desencadeado pelo mundo em geral.
Isso é menos dramático do que Log4Shell, onde o bug poderia, pelo menos em teoria, ser acionado pelo tráfego de rede enviado para quase qualquer servidor na rede que usasse o código de registro Log4J, incluindo sistemas como servidores web que deveriam ser publicamente acessível.
O que fazer?
- Corrija assim que puder. Versões afetadas aparentemente incluem Operações VMware Aria para logs 8.10.2, que precisa ser atualizado para 8.12; e um sabor de produto mais antigo conhecido como VMware Cloud Foundation versão 4.x, que precisa primeiro ser atualizado para a versão 4.5 e, em seguida, atualizado para o VMware Aria Operations for Logs 8.12.
- Se você não puder corrigir, reduza o acesso aos seus serviços AOfL o máximo que puder. Mesmo que isso seja um pouco inconveniente para sua equipe de operações de TI, pode reduzir muito o risco de que um bandido que já tenha uma base em algum lugar em sua rede possa acessar e abusar de seus serviços AOfL e, assim, aumentar e estender seu acesso não autorizado.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
- Fonte: https://nakedsecurity.sophos.com/2023/04/21/vmware-patches-break-and-enter-hole-in-logging-tools-update-now/
- :tem
- :é
- :não
- $UP
- 1
- 10
- 2021
- 8
- 9
- a
- Sobre
- acima
- absoluto
- abuso
- Acesso
- acessível
- Conta
- endereço
- Todos os Produtos
- já
- quantidade
- an
- e
- responder
- qualquer
- qualquer um
- apache
- ar
- AS
- At
- autor
- auto
- em caminho duplo
- background-image
- Mau
- BE
- Porque
- antes
- ser
- entre
- fronteira
- Inferior
- Bug
- mas a
- by
- CAN
- casas
- Centralização de
- caracteres
- escolha
- escolha
- Na nuvem
- código
- cor
- poderia
- cobrir
- Cortar
- dados,
- descrito
- diretamente
- Ecrã
- não
- down
- dramaticamente
- mais fácil
- termina
- Mesmo
- SEMPRE
- Cada
- todos
- exatamente
- exemplo
- estender
- falsificação
- Moda
- Primeiro nome
- falha
- seguinte
- Escolha
- Foundation
- dado
- Bom estado, com sinais de uso
- grandemente
- aconteceu
- acontece
- Ter
- headlines
- altura
- Buraco
- pairar
- HTML
- HTTPS
- in
- incluir
- incluído
- Incluindo
- Crescimento
- em vez disso
- Internet
- para dentro
- IT
- se
- apenas por
- Guarda
- conhecido
- grande
- log4j
- Log4Shell
- moldadas
- fazer
- muitos
- Margem
- max-width
- significa
- Coração
- mais
- a maioria
- você merece...
- Cria
- rede
- tráfego de rede
- redes
- notícias
- normal
- notavelmente
- of
- Velho
- on
- ONE
- aberto
- aberto
- Operações
- or
- ordem
- Acima de
- próprio
- parte
- Remendo
- Patches
- Paul
- Avião
- platão
- Inteligência de Dados Platão
- PlatãoData
- posição
- POSTAGENS
- bastante
- processo
- Produto
- Agenda
- Programático
- publicamente
- colocar
- questão
- alcançar
- Leia
- reduzir
- refere-se
- remoto
- Risco
- volta
- Execute
- Dito
- diz
- Ponto
- segurança
- Seqüência
- Servidores
- serviço
- Serviços
- simplesmente
- So
- Software
- sólido
- algum lugar
- especial
- tal
- suposto
- SVG
- .
- sistemas
- Profissionais
- dizer
- terminal
- do que
- que
- A
- o mundo
- deles
- Eles
- assim
- Este
- isto
- tempo
- vezes
- para
- ferramentas
- topo
- tráfego
- transição
- transparente
- tratar
- desencadeado
- Atualizar
- Atualizada
- atualização
- URL
- usar
- usava
- usuários
- utilização
- versão
- via
- vmware
- aviso
- foi
- we
- web
- foram
- O Quê
- qual
- QUEM
- largura
- sem
- mundo
- seria
- escrever
- Vocês
- investimentos
- zefirnet