로깅 소프트웨어는 이전에 여러 번 사이버 보안 헤드라인을 장식했으며 특히 다음과 같은 Apache Log4J 버그의 경우에 그러했습니다. Log4Shell 그 망가진 크리스마스 2021년 말에 많은 시스템 관리자를 위해.
Log4Shell 구멍은 보안 결함 많은 로그 파일 시스템에서 로그 파일을 "더 스마트하게" 만들기 위해 로그하려는 텍스트 중간에 거의 "미니 프로그램"을 작성할 수 있다는 사실로 귀결됩니다. ” 더 쉽게 읽을 수 있습니다.
예를 들어 Log4J에 텍스트를 기록하도록 요청한 경우 I AM DUCK, Log4J는 그렇게 할 것입니다.
하지만 특수 마크업 문자를 포함했다면 ${...}, 다음에 신중하게 선택 구불구불한 괄호 사이에 삽입한 내용은 로깅 서버에 “이 실제 문자를 기록하지 마십시오. 대신 나를 위해 실행되는 미니 프로그램으로 취급하고 돌아온 대답을 삽입하십시오.”
따라서 몰래 구성된 이메일 주소나 가짜 성처럼 서버가 기록할 부비 트랩 데이터를 선택하면 일반 텍스트로 위장한 로거에 프로그램 명령을 보낼 수 있습니다.
유연성 때문에! 편리하기 때문에! 그러나 보안 때문이 아닙니다!
이번에는
이번에 경고하는 로깅 관련 버그는 CVE-2023-20864은 보안 구멍 in 로그를 위한 VMWare의 Aria 작업 제품(AOfL, vRealize 로그 인사이트).
나쁜 소식은 VMWare가 이 버그에 CVSS "보안 위험" 점수 9.8/10을 부여했다는 것입니다. 원격 코드 실행 (RCE), 아직 AOfL 시스템에 로그인하지 않은(또는 계정이 없는) 네트워크 사용자도 마찬가지입니다.
RCE는 위의 Log4Shell 예에서 설명한 보안 허점의 유형을 말하며 정확히 다음과 같은 의미입니다. 원격 공격자가 평범한 오래된 데이터로 간주되는 청크를 보낼 수 있지만 결국 시스템에서 처리하게 됩니다. 하나 이상의 프로그래밍 명령으로.
간단히 말해서 공격자는 마치 시스템 관리자에게 전화를 걸어 “자신의 계정을 사용하여 로그인하고 터미널 창을 열고 그런 다음 질문 없이 나를 위해 다음 명령 시퀀스를 실행합니다.”
이 경우 좋은 소식은 우리가 알 수 있는 한 로그를 보관하는 모든 서버로 전송되는 부비 트랩 데이터를 통해 로깅 프로세스를 남용하는 것만으로는 버그가 트리거될 수 없다는 것입니다. 서버 적).
대신 버그는 AOfL "로그 인사이트" 서비스 자체에 있으므로 공격자는 AOfL 서비스가 실제로 실행되는 네트워크 부분에 액세스해야 합니다.
우리는 AOfL이 사용되는 대부분의 네트워크가 AOfL 서비스를 인터넷상의 모든 사람에게 공개하지 않는다고 가정하고 있으므로 이 버그는 전 세계에서 직접 액세스하고 트리거할 가능성이 낮습니다.
Log4J 로깅 코드를 사용하게 된 네트워크의 거의 모든 서버로 전송된 네트워크 트래픽에 의해 버그가 발생할 수 있는 Log4Shell보다 덜 극적입니다. 공개적으로 액세스할 수 있어야 합니다.
무엇을해야 하는가?
- 최대한 빨리 패치하세요. 영향을 받는 버전에는 분명히 다음이 포함됩니다. 로그용 VMware Aria 작업 8.10.2, 8.12로 업데이트해야 합니다. 그리고 VMware Cloud Foundation 버전 4.x, 먼저 버전 4.5로 업데이트한 다음 VMware Aria Operations for Logs 8.12로 업그레이드해야 합니다.
- 패치할 수 없는 경우 AOfL 서비스에 대한 액세스를 최대한 줄이십시오. 이것이 IT 운영 팀에 약간 불편하더라도 네트워크 어딘가에 이미 발판을 마련한 사기꾼이 AOfL 서비스에 도달하고 남용하여 무단 액세스를 늘리고 확장할 수 있는 위험을 크게 줄일 수 있습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
- 출처: https://nakedsecurity.sophos.com/2023/04/21/vmware-patches-break-and-enter-hole-in-logging-tools-update-now/
