Kilku ekspertów ds. cyberbezpieczeństwa udostępniło bezpłatne skanery, aby pomóc organizacjom znaleźć podatne na ataki instancje Log4j.
Na przykład Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) udostępniła skaner Log4j na GitHub, oparty na wcześniejszej wersji stworzonej przez firmę ochroniarską FullHunt.
CISA twierdzi, że to narzędzie wyszukuje dwie luki, CVE-2021-44228 i CVE-2021-45046, oraz obsługuje wywołania zwrotne DNS w celu wykrywania i sprawdzania luk w zabezpieczeniach. Zapewnia również automatyczne wykrywanie błędów parametrów danych HTTP POST oraz parametrów danych JSON.
Eksperci Crowdstrike ds. cyberbezpieczeństwa wydali również podobny skaner o nazwie CAST.
Skanery mają usterki
Jednak badacze ostrzegają, że żadne z tych narzędzi nie jest doskonałe i może w rezultacie przeoczyć jedną lub dwie luki w zabezpieczeniach.
Yotam Perkal, szef badań w firmie ochroniarskiej Rezilion, przeanalizował te narzędzia i opublikował wyniki w poście na blogu. Według Perkala wiele skanerów przeoczyło pewne wersje luki.
„Największym wyzwaniem jest wykrycie Log4Shell w oprogramowaniu spakowanym w środowiskach produkcyjnych: pliki Java (takie jak Log4j) można zagnieżdżać kilka warstw w innych plikach, co oznacza, że pobieżne wyszukiwanie pliku go nie znajdzie”, napisał Perkal. . „Ponadto mogą być spakowane w wielu różnych formatach, co stwarza prawdziwe wyzwanie, aby zagłębić się w inne pakiety Java”.
Firma Perkal przetestowała w sumie dziewięć skanerów i chociaż niektóre działały lepiej niż inne, żaden nie był w stanie zidentyfikować wszystkich wrażliwych implementacji Log4j.
„Przypomina nam również, że możliwości wykrywania są tak dobre, jak twoja metoda wykrywania. Skanery mają martwe punkty” – podsumował Perkal. „Urzędnicy ds. bezpieczeństwa nie mogą ślepo zakładać, że różne narzędzia open source, a nawet narzędzia komercyjne będą w stanie wykryć wszystkie przypadki brzegowe. A w przypadku Log4j istnieje wiele instancji brzegowych w wielu miejscach. "
Log4Shell
Log4j to program rejestrujący Java, który niedawno odkryto, że zawiera krytyczną lukę, która może pozwolić złośliwym podmiotom (nawet tym z bardzo niewielkimi umiejętnościami) na wykonanie dowolnego kodu i upuszczenie milionów punktów końcowych, złośliwego oprogramowania, oprogramowania ransomware i kopaczy kryptowaluty.
Dalsze dochodzenie ujawniło, że Log4Shell, jak nazwano tę lukę, jest jedną z najpoważniejszych luk w zabezpieczeniach ostatnich lat. Jen Easterly, dyrektor CISA, nazwała to „jednym z najpoważniejszych”, jakie widziała w całej swojej karierze, „jeśli nie najpoważniejszym”.
Do tej pory Apache wydał co najmniej trzy poprawki dla Log4j od czasu wykrycia luki, a użytkowników zachęca się do natychmiastowej aktualizacji.
Poprzez ZDNet