Дождь не идет, а льет. Ранее предполагалось, что 10 из 10 уязвимостей системы безопасности Log4j ограничиваются уязвимыми серверами. Мы ошибались. Охранная компания цвести утверждает, что нашел новый захватывающий вектор атаки Log4j.

Вы ведь не хотели брать отпуск в эти выходные, не так ли? Конечно, нет! Вместо этого вы будете все глубже преследовать уязвимый код Log4j в своей сети. По словам Блумиры, этот недавно обнаруженный Javascript WebSocket Вектор атаки может быть использован через путь прослушивающего сервера на его машине или в локальной сети. Злоумышленник может просто перейти на веб-сайт и активировать уязвимость. Что усугубляет травму, соединения WebSocket внутри хоста могут быть трудными для понимания. Это означает, что обнаружить эту уязвимость и атаки с ее помощью еще сложнее.

Этот вектор значительно расширяет поверхность атаки. Насколько так? Его можно использовать в службах, работающих как localhost, которые не доступны в сети. Это то, что мы называем проблемой типа «Пристрели меня сейчас».

О, и я уже упоминал? Сам клиент не имеет прямого контроля над соединениями WebSocket. Они могут запускаться незаметно при загрузке веб-страницы. Разве вам не нравится слово «молча» в этом контексте? Я знаю, что.

WebSockets, для тех из вас, кто не является веб-разработчиками, есть почти во всех современных веб-браузерах. Они обычно используются для функций двусторонней связи, таких как чат на веб-сайте и оповещения. Они отлично передают своевременную информацию обратно в браузер и позволяют браузеру быстро отправлять данные туда и обратно.

Однако у WebSockets есть свои риски безопасности. WebSockets не ограничены политиками одного и того же происхождения, как обычный междоменный HTTP-запрос. Вместо этого они ожидают, что веб-сервер проверит источник запроса. Короче говоря, у них не так много встроенных мер безопасности.

Как можно догадаться, WebSockets уже использовались в атаках. WebSockets использовались для атак на кабельные модемы путем отправки злонамеренных запросов. Это также используется хакерами для снятия отпечатков пальцев с хоста и сканирования портов.

В своей проверочной атаке Блумира обнаружил, что с помощью одного из множества Интерфейс именования и каталогов Java (JNDI) эксплойты, которые они могут запускать через URL-адрес пути к файлу, используя соединение WebSocket с машинами с установленной уязвимой библиотекой Log4j2. Все, что было необходимо для успеха, — это запрос пути, который был запущен при загрузке веб-страницы. Просто, но смертельно опасно.

Что еще хуже, это не обязательно должен быть localhost. WebSockets позволяют подключаться к любому IP-адресу. Повторяю: «Любой IP», включая частное IP-пространство.

Затем, когда страница загружается, она инициирует локальное соединение WebSocket, попадет на уязвимый слушающий сервер и подключится через идентифицированный тип соединения на основе строки соединения JNDI. Исследователи увидели наибольший успех при использовании Java Remote Method Invocation (RMI). порт по умолчанию 1099., хотя мы часто видим, что используются пользовательские порты. Простое сканирование портов — метод, уже описанный в руководстве для хакеров WebSocket, — был самым простым путем к успешной атаке. Компания обнаружила, что, еще более усложнив обнаружение таких атак, «особых закономерностей ожидать не следует, поскольку в фоновом режиме можно легко активировать трафик».

Затем обнаруживается открытый порт для локальной службы или службы, доступной для хоста, и он может удалить строку эксплойта JNDI в пути или параметрах. «Когда это происходит, уязвимый хост обращается к серверу эксплойтов, загружает класс злоумышленника и выполняет его с java.exe в качестве родительского процесса». Тогда злоумышленник может запустить все, что захочет.

Действительно, они уже есть. Как Анураг Гурту, StrikeReadyДиректор по продукту заметил: «По всей видимости, атака вымогателя в настоящее время использует уязвимость Log4Shell. Это банда вымогателей Khonsari создала атаку, используя C # и платформу .NET. После выполнения вредоносная программа перечисляет все подключенные диски (другие чем C: /) и нацелены на пользовательские каталоги, включая Документы, Видео, Изображения, Загрузки и Рабочий стол. Для шифрования используется алгоритм AES 128 CBC, а файлы сохраняются с расширением .khonsari ».

Они не единственные. Спонсируемые государством хакеры из Китая, Ирана, Северной Кореи и Турции; Кобальтовый удар; и многие другие также используют уязвимости Log4j. Эта последняя уязвимость просто открывает двери для потенциальных злоумышленников.

Будет только хуже, пока не станет лучше. Софос Старший исследователь угроз Шон Галлахер недавно объяснил, что злоумышленники Log4Shell были сосредоточены на майнинге криптовалют, но это всего лишь «затишье перед бурей».

Он продолжил: «Мы ожидаем, что злоумышленники, скорее всего, получат как можно больше доступа ко всему, что они могут получить прямо сейчас … чтобы монетизировать и / или извлечь из этого выгоду позже. Самым непосредственным приоритетом для защитников является снижение уязвимости путем исправления и смягчения всех углов. инфраструктуры и исследовать открытые и потенциально скомпрометированные системы ». В конце концов, заключил Галлахер: «Эта уязвимость может быть везде».

Что вы можете с этим поделать? Блумира предлагает следующее:

Обновите все локальные разработки, внутренние приложения и среды с выходом в Интернет, чтобы Log4j 2.16 как можно скорее, прежде чем злоумышленники смогут использовать эту уязвимость в дальнейшем. Это включает в себя перемещение любых настраиваемых приложений в их манифестах зависимостей в версию 2.16 как можно скорее, чтобы избежать случайного использования.

Вам также следует внимательно изучить сетевой брандмауэр и фильтрацию исходящего трафика. Миссия здесь состоит в том, чтобы ограничить обратный вызов, необходимый для фактического приземления эксплойта. Значительное ограничение исходящего трафика ваших конечных точек снизит риск при установке исправлений для приложений. В частности, убедитесь, что только определенные машины могут отправлять трафик через порты 53, 389, 636 и 1099. Все остальные порты должны быть заблокированы. Наконец, поскольку вооруженные приложения Log4j часто пытаются перезвонить своим хозяевам через случайные высокие порты, вам следует заблокировать их доступ к таким портам.

Удачи, возвращайтесь к работе по поиску библиотек и звонков Log4j, и надейтесь, что перед праздниками вы получите как можно больше инфраструктуры.