‘Vaccin’ tegen Log4Shell-kwetsbaarheid heeft potentieel — en beperkingen

Hoor van CIO’s, CTO’s en andere C-level en senior executives over data en AI-strategieën op de Future of Work Summit op 12 januari 2022. Leer meer


Een “vaccin” tegen de Log4Shell-kwetsbaarheid lijkt een manier te bieden om het risico van de wijdverbreide fout te verminderen die servers treft waarop Apache Log4j draait. Het script is ontwikkeld door onderzoekers van beveiligingsleverancier Cybertijdperk en vrijgelaten gratis op vrijdagavond, na de onthulling van de kritieke zero-day kwetsbaarheid laat op donderdag.

De Log4Shell-kwetsbaarheid treft Apache Log4j, een open source Java-logboekbibliotheek die breed wordt ingezet in cloudservices en bedrijfssoftware. De fout wordt als zeer gevaarlijk beschouwd omdat het de uitvoering van externe code (RCE) mogelijk maakt – waarbij een aanvaller op afstand toegang kan krijgen tot apparaten en deze kan bedienen – en het wordt ook als vrij eenvoudig te misbruiken beschouwd. Log4Shell is “waarschijnlijk de belangrijkste” [vulnerability] in een decennium” en kan uiteindelijk de “belangrijkste ooit worden”, zei Amit Yoran, CEO van Tenable, zaterdag op Twitter.

Wijdverbreide kwetsbaarheid

Volgens W3Techs draait naar schatting 31,5% van alle websites op Apache-servers. De lijst met bedrijven met kwetsbare infrastructuur naar verluidt omvat Apple, Amazon, Twitter en Cloudflare. leveranciers waaronder: Cisco, VMware, en rode Hoed adviezen hebben uitgebracht over mogelijk kwetsbare producten.

“Deze kwetsbaarheid, die op grote schaal wordt uitgebuit door een groeiend aantal dreigingsactoren, vormt een urgente uitdaging voor netwerkverdedigers gezien het brede gebruik ervan”, zegt Jen Easterly, directeur van de federale Cybersecurity and Infrastructure Security Agency (CISA), in een stelling zaterdag geplaatst.

De kwetsbaarheid heeft invloed gehad op versie 2.0 tot en met versie 2.14.1 van Apache Log4j, en organisaties wordt geadviseerd om zo snel mogelijk te updaten naar versie 2.15.0.

Tijd kopen

Maar patchen kan een tijdrovend proces zijn. Als aanvulling op patching-inspanningen, zegt Cybereason dat zijn tool – die het “Logout4Shell” noemt – het potentieel heeft om kwetsbare servers te “immuniseren” en bescherming te bieden tegen exploits van aanvallers die zich op de fout richten.

Hoewel updaten naar de nieuwste versie van Log4j ongetwijfeld de beste oplossing is, is patchen vaak complex en vereist een release- en testcyclus, zegt Yonatan Striem-Amit, medeoprichter en chief technology officer bij Cybereason. “Veel bedrijven vinden het moeilijk om noodpatches te implementeren”, zei hij in een interview met VentureBeat.

Het Logout4Shell-“vaccin” koopt in wezen wat tijd voor beveiligingsteams terwijl ze werken aan het uitrollen van patches, zei Striem-Amit. De fix schakelt de kwetsbaarheid uit en stelt organisaties in staat beschermd te blijven terwijl ze hun servers updaten, zei hij.

Cybereason heeft de fix beschreven als een “vaccin” omdat het werkt door gebruik te maken van de Log4Shell-kwetsbaarheid zelf. “De fix gebruikt de kwetsbaarheid zelf om de vlag in te stellen die het uitschakelt”, schreef Striem-Amit in een blogpost. “Omdat de kwetsbaarheid zo gemakkelijk te misbruiken en alomtegenwoordig is, is het een van de weinige manieren om deze in bepaalde scenario’s te dichten.”

Bovendien is de Cybereason-oplossing “relatief eenvoudig” omdat alleen basis-Java-vaardigheden vereist zijn om het te implementeren, schreef hij.

Potentieel om te helpen

Met de Logout4Shell-tool kunnen beveiligingsteams “een server nemen waarvan u vermoedt dat deze kwetsbaar is, en de string naar plaatsen voeren waarvan u denkt dat deze mogelijk kwetsbaar zijn. Als je applicatie helemaal niet kwetsbaar is, gebeurt er niets’, zegt Striem-Amit tegen VentureBeat.

“Als uw server echter kwetsbaar is voor deze aanval, wordt de exploit geactiveerd, waardoor de door ons geleverde code wordt gedownload”, zei hij. “En wat die broncode doet, is de configuratie ingaan en de kwetsbare componenten uitschakelen. Dus de server blijft draaien, niet wijzer – maar elke toekomstige poging om dit beveiligingslek nu te misbruiken, zal niets uithalen. Het kwetsbare onderdeel is nu uitgeschakeld en je bent klaar.”

Casey Ellis, oprichter en chief technology officer bij bug bounty-platform Bugcrowd, vertelde VentureBeat dat de Cybereason-oplossing effectief lijkt te zijn en het potentieel heeft om beveiligingsteams te helpen.

Ellis zei dat vanwege de complexiteit van regressietesten Log4j: “Ik heb al gehoord van een aantal organisaties die de tijdelijke oplossingen in de Cybereason-tool als hun primaire benadering nastreven.”

“Het valt nog te bezien of veel bedrijven ervoor kiezen om de kwetsbaarheid zelf te misbruiken om dit te bereiken”, zei hij. “Maar ik zou verwachten dat in ieder geval sommigen de tool selectief en situationeel zouden gebruiken.”

Beperkingen

Er zijn echter enkele beperkingen voor de Cybereason-fix.

Om te beginnen werkt de beperking niet vóór versie 2.10 van Log4j. De exploit moet ook “goed starten” om effectief te zijn, zei Ellis. “En zelfs als het goed werkt, laat het de kwetsbare code nog steeds op zijn plaats”, zei hij.

Toch “lijkt dit mij een zeer slimme ‘optie als laatste redmiddel'”, zei Ellis. “Veel organisaties worstelen momenteel met het inventariseren waar Log4j zich in hun omgeving bevindt, en het bijwerken van een onderdeel als dit vereist een afhankelijkheidsanalyse om te voorkomen dat een systeem kapot gaat bij het nastreven van een kwetsbaarheid.”

Dit alles “betekent veel werk. En het hebben van een ‘fire and forget’-tool om alles op te ruimen dat aan het einde van dit alles misschien is gemist, lijkt een scenario waar veel organisaties de komende weken in terecht zullen komen’, zei hij.

Uiteindelijk zei Ellis dat hij de Cybereason-fix ziet als een aanvullende tool in plaats van een wondermiddel.

“Het is een tijdelijke oplossing met een aantal beperkingen”, zei hij. “[But] het heeft een intrigerend potentieel als hulpmiddel in de gereedschapskist, aangezien organisaties het Log4j-risico verminderen. En als het voor hen zinvol is om het te gebruiken, zal een van de belangrijkste redenen de snelheid zijn om risico’s te verminderen.”

Positieve feedback

Striem-Amit vertelde VentureBeat dat hij een grote hoeveelheid positieve feedback heeft gezien over Logout4Shell, op Twitter en andere websites, maar zei dat Cybereason het gebruik ervan niet bijhoudt.

Het bedrijf – dat zegt dat geen van zijn eigen producten worden getroffen door de Log4Shell-kwetsbaarheid – is ook van plan een versie van de Logout4Shell-tool te ontwikkelen die eerdere versies van Log4j kan ondersteunen, zodat alle servers met deze methode kunnen worden beschermd, zei hij.

Belangrijk is dat niemand de tool zou moeten zien als een “permanente” oplossing om de Log4Shell-kwetsbaarheid aan te pakken, aldus Striem-Amit.

“Het idee is niet dat dit een oplossing voor de lange termijn is”, zei hij. “Het idee is dat je jezelf tijd gunt om nu de best practices toe te passen – patch je software, implementeer een nieuwe versie en alle andere dingen die nodig zijn voor een goede IT-hygiëne.”

VentureBeat

De missie van VentureBeat is om een ​​digitaal stadsplein te zijn voor technische besluitvormers om kennis op te doen over transformatieve technologie en transacties. Onze site biedt essentiële informatie over datatechnologieën en -strategieën om u te begeleiden bij het leiden van uw organisaties. We nodigen je uit om lid te worden van onze community, om toegang te krijgen tot:

  • actuele informatie over de onderwerpen die u interesseren
  • onze nieuwsbrieven
  • gated thought-leader content en korting op toegang tot onze gewaardeerde evenementen, zoals: Transformeer 2021: Leer meer
  • netwerkfuncties en meer

Lid worden

creditSource link

Palomine.be
Logo
Compare items
  • Total (0)
Compare
0
Shopping cart