Η εταιρεία ασφαλείας Blumira ανακαλύπτει ένα νέο είδος επίθεσης στο Log4j

Μέχρι τώρα, ήταν γνωστό ότι όλες οι ευπάθειες του Log4j περιοριζόταν σε εκτεθειμένους ευάλωτους διακομιστές.

Τελικά αυτό αποδεικνύεται ότι δεν ισχύει. Η εταιρεία ασφαλείας Blumira ισχυρίζεται ότι έχει βρει ένα νέο τρόπο επίθεσης στο Log4j. Σύμφωνα με την Blumira, αυτή η πρόσφατα ανακαλυφθείσα επίθεση με Javascript WebSocket μπορεί να αξιοποιηθεί μέσω της διαδρομής ενός διακομιστή ακρόασης στον υπολογιστή ή στο τοπικό δίκτυο. Ένας εισβολέας μπορεί απλώς να πλοηγηθεί σε έναν ιστότοπο και να εκμεταλλευθεί την ευπάθεια. Αυτού του είδους οι επιθέσεις μπορούν να χρησιμοποιηθεί ακόμα και σε υπηρεσίες που εκτελούνται ως localhost, οι οποίες δεν είναι εκτεθειμένες σε δίκτυο και να ξεκινήσουν στο παρασκήνιο, όταν φορτώνεται μια ιστοσελίδα.

Στην επίθεση proof-of-concept, η Blumira διαπίστωσε ότι χρησιμοποιώντας ένα από τα πολλά Java Naming and Directory Interface (JNDI) exploits που θα μπορούσαν να ενεργοποιηθούν μέσω μιας διεύθυνσης URL χρησιμοποιώντας μια σύνδεση WebSocket σε μηχανήματα με εγκατεστημένη την ευάλωτη βιβλιοθήκη Log4j2. Το μόνο που χρειαζόταν για να ενεργοποιηθεί επιτυχώς το exploit, είναι ένα αίτημα διαδρομής αρχείου που μπορεί να γίνει κατά τη φόρτωση της ιστοσελίδας. Απλό, αλλά θανατηφόρο. Κάνοντας τα πράγματα χειρότερα, δεν χρειάζεται να είναι στο localhost. Τα WebSockets επιτρέπουν συνδέσεις σε οποιαδήποτε IP. 

Η Blumira προτείνει στους χρήστες "να ενημερώσουν όλα τα τρέχοντα projects, τις εσωτερικές εφαρμογές και τα περιβάλλοντα που αντιμετωπίζουν το Διαδίκτυο στο Log4j 2.16 το συντομότερο δυνατό, προτού οι επιτιθέμενοι να μπορέσουν να χρησιμοποιήσουν περαιτέρω αυτό το exploit", αναφέρει το ZDNet.

"Θα πρέπει επίσης να ελέγξετε προσεκτικά το τείχος προστασίας του δικτύου σας καθώς και τις θύρες δικτύου. Συγκεκριμένα, βεβαιωθείτε ότι μόνο ορισμένα μηχανήματα μπορούν να στείλουν κίνηση σε θύρες 53, 389, 636 και 1099. Όλες οι άλλες θύρες θα πρέπει να είναι αποκλεισμένες. " Η αναφορά συνεχίζει: "Τέλος, δεδομένου ότι οι εφαρμογές Log4j συχνά προσπαθούν να "καλέσουν στο σπίτι τους" (ET call home) κυρίως μέσω τυχαίων υψηλών θυρών, θα πρέπει να αποκλείσετε την πρόσβασή τους σε τέτοιες θύρες."