“Vaccin” mot Log4Shell-sĂ„rbarhet har potential – och begrĂ€nsningar

Microsoft: Ransomware


Ett “vaccin” mot Log4Shell-sĂ„rbarheten verkar erbjuda ett sĂ€tt att minska risken frĂ„n det utbredda felet som pĂ„verkar servrar som kör Apache Log4j. Skriptet utvecklades av forskare hos sĂ€kerhetsleverantören Cybereason och slĂ€pptes gratis pĂ„ fredagskvĂ€llen, efter avslöjandet av den kritiska nolldagssĂ„rbarheten sent pĂ„ torsdagen.

Log4Shell-sĂ„rbarheten pĂ„verkar Apache Log4j, ett Java-loggningsbibliotek med öppen kĂ€llkod som anvĂ€nds brett i molntjĂ€nster och företagsprogramvara. Felet anses vara mycket farligt eftersom det kan möjliggöra fjĂ€rrkodexekvering (RCE) – dĂ€r en angripare kan fjĂ€rrĂ„tkomst till och kontrollera enheter – och ses ocksĂ„ som ganska lĂ€tt att utnyttja. Log4Shell Ă€r “förmodligen den viktigaste [vulnerability] inom ett decennium” och kan sluta bli den “mest betydelsefulla nĂ„gonsin”, sa Tenables vd Amit Yoran i lördags pĂ„ Twitter.

Utbredd sÄrbarhet

Enligt W3Techs, uppskattningsvis 31,5% av alla webbplatser körs pÄ Apache-servrar. Listan över företag med sÄrbar infrastruktur inkluderar enligt uppgift Apple, Amazon, Twitter och Cloudflare. Leverantörer inklusive Cisco, VMware och Red Hat har utfÀrdat rÄd om potentiellt sÄrbara produkter.

“Denna sĂ„rbarhet, som i stor utstrĂ€ckning utnyttjas av en vĂ€xande uppsĂ€ttning hotaktörer, utgör en akut utmaning för nĂ€tverksförsvarare med tanke pĂ„ dess breda anvĂ€ndning”, sĂ€ger Jen Easterly, chef för den federala Cybersecurity and Infrastructure Security Agency (CISA), i ett uttalande postat i lördags.

SÄrbarheten har pÄverkat version 2.0 till och med version 2.14.1 av Apache Log4j, och organisationer rekommenderas att uppdatera till version 2.15.0 sÄ snabbt som möjligt.

Köper lite tid

Men lappning kan vara en tidskrĂ€vande process. Som ett komplement till patchningsinsatser, sĂ€ger Cybereason att dess verktyg – som det kallar “Logout4Shell” – har potentialen att “immunisera” sĂ„rbara servrar, vilket ger skydd mot attacker som riktar sig mot felet.

Även om uppdatering till den senaste versionen av Log4j utan tvekan Ă€r den bĂ€sta lösningen, Ă€r patchning ofta komplex och krĂ€ver en release- och testcykel, sĂ€ger Yonatan Striem-Amit, medgrundare och teknisk chef pĂ„ Cybereason. “MĂ„nga företag har svĂ„rt att gĂ„ och distribuera nödlappar”, sa han i en intervju med VentureBeat.

Logout4Shell-“vaccinet” köper i princip lite tid för sĂ€kerhetsteam nĂ€r de arbetar med att rulla ut patchar, sa Striem-Amit. Korrigeringen inaktiverar sĂ„rbarheten och tillĂ„ter organisationer att förbli skyddade medan de uppdaterar sina servrar, sa han.

Cybereason har beskrivit korrigeringen som ett “vaccin” eftersom det fungerar genom att utnyttja log4Shell-sĂ„rbarheten i sig. “Lösningen anvĂ€nder sjĂ€lva sĂ„rbarheten för att stĂ€lla in flaggan som stĂ€nger av den”, skrev Striem-Amit i ett blogginlĂ€gg. “Eftersom sĂ„rbarheten Ă€r sĂ„ lĂ€tt att utnyttja och sĂ„ allestĂ€des nĂ€rvarande – Ă€r det ett av de fĂ„ sĂ€tten att stĂ€nga den i vissa scenarier.”

Dessutom Ă€r Cybereason-fixen “relativt enkel” eftersom endast grundlĂ€ggande Java-kunskaper krĂ€vs för att implementera den, skrev han.

Potential att hjÀlpa

Med verktyget Logout4Shell kan sĂ€kerhetsteam “ta en server som du misstĂ€nker Ă€r sĂ„rbar och mata strĂ€ngen till platser som du tror Ă€r potentiellt sĂ„rbara. Om din applikation inte alls Ă€r sĂ„rbar hĂ€nder ingenting”, sa Striem-Amit till VentureBeat.

“Men om din server Ă€r sĂ„rbar för den hĂ€r attacken kommer exploateringen att utlösas, vilket kommer att ladda ner koden som vi tillhandahĂ„ller,” sa han. “Och vad den kĂ€llkoden gör Ă€r att gĂ„ in i konfigurationen och inaktivera de sĂ„rbara komponenterna. SĂ„ servern fortsĂ€tter att köra, ingen desto klokare – men alla framtida försök att utnyttja denna sĂ„rbarhet nu kommer inte att göra nĂ„gonting. Den sĂ„rbara komponenten Ă€r nu inaktiverad och du Ă€r klar.”

Casey Ellis, grundare och teknisk chef pÄ bug bounty-plattformen Bugcrowd, sa till VentureBeat att Cybereason-fixen verkar vara effektiv och har potential att hjÀlpa sÀkerhetsteam.

Ellis sa att pĂ„ grund av komplexiteten i regressionstestning Log4j, “har jag redan hört frĂ„n ett antal organisationer som driver de lösningar som finns i Cybereason-verktyget som sitt primĂ€ra tillvĂ€gagĂ„ngssĂ€tt.”

“Det Ă„terstĂ„r att se om mĂ„nga företag vĂ€ljer att utnyttja sjĂ€lva sĂ„rbarheten för att uppnĂ„ detta”, sa han. “Men jag förvĂ€ntar mig att Ă„tminstone nĂ„gra anvĂ€nder verktyget selektivt och situationsmĂ€ssigt.”

BegrÀnsningar

Det finns dock vissa begrÀnsningar för Cybereason-fixen.

För det första fungerar inte begrĂ€nsningen före version 2.10 av Log4j. Exploateringen mĂ„ste ocksĂ„ “skjuta ordentligt” för att vara effektiv, sa Ellis. “Och Ă€ven nĂ€r det fungerar korrekt, lĂ€mnar det fortfarande den sĂ„rbara koden pĂ„ plats,” sa han.

ÄndĂ„, “det hĂ€r slĂ„r mig som ett mycket smart “alternativ till sista utvĂ€g”, sa Ellis. “MĂ„nga organisationer kĂ€mpar för nĂ€rvarande med att inventera var Log4j finns i deras miljö, och att uppdatera en komponent som denna krĂ€ver en beroendeanalys för att undvika att bryta ett system i jakten pĂ„ att fixa en sĂ„rbarhet.”

Allt detta “lĂ€gger ihop till mycket arbete. Och att ha ett “eld och glöm”-verktyg för att rensa upp allt som kan ha missats i slutet av det hela verkar som ett scenario som mĂ„nga organisationer kommer att hamna i under de kommande veckorna”, sa han.

Till slut sa Ellis att han ser Cybereason-fixen som ett kompletterande verktyg snarare Àn ett botemedel.

“Det Ă€r en lösning med ett antal begrĂ€nsningar,” sa han. “[But] det har en spĂ€nnande potential som verktyg i verktygslĂ„dan eftersom organisationer minskar Log4j-risken. Och om det Ă€r vettigt för dem att anvĂ€nda det, kommer en av de frĂ€msta anledningarna att vara snabba riskreduktioner.

Positiv feedback

Striem-Amit berÀttade för VentureBeat att han har sett en stor mÀngd positiv feedback om Logout4Shell, pÄ Twitter och andra webbplatser, men sa att Cybereason inte spÄrar anvÀndningen av det.

Företaget – som sĂ€ger att ingen av dess egna produkter pĂ„verkas av Log4Shell-sĂ„rbarheten – planerar ocksĂ„ att utveckla en version av Logout4Shell-verktyget som kan stödja tidigare versioner av Log4j, sĂ„ att alla servrar kan skyddas med den hĂ€r metoden, sa han.

Viktigt Ă€r att ingen ska se verktyget som en “permanent” lösning för att ta itu med Log4Shell-sĂ„rbarheten, enligt Striem-Amit.

“Tanken Ă€r inte att detta Ă€r en lĂ„ngsiktig lösning”, sa han. “Tanken Ă€r att du köper dig tid att nu gĂ„ och tillĂ€mpa de bĂ€sta metoderna – korrigera din programvara, implementera en ny version och alla andra saker som krĂ€vs för god IT-hygien.”

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknik och handla. LÀs mer om medlemskap.