Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

VMware-patches breken-en-invoeren gat in logboektools: update nu!

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 124
by Paul Ducklin

Logging-software heeft al vele malen de krantenkoppen gehaald op het gebied van cyberonveiligheid, met name in het geval van de Apache Log4J-bug die bekend staat als Log4Shell dat verpestte kerst voor veel systeembeheerders eind 2021.

Het Log4Shell-gat was een beveiligingsfout in het logproces zelf, en kwam erop neer dat veel logfile-systemen u in staat stellen om wat bijna neerkomt op "miniprogramma's" midden in de tekst die u wilt loggen, te schrijven om uw logbestanden "slimmer" te maken ' en gemakkelijker te lezen.

Als u bijvoorbeeld Log4J hebt gevraagd om de tekst te loggen I AM DUCK, zou Log4J precies dat doen.

Maar als u de speciale opmaaktekens hebt opgenomen ${...}dan door zorgvuldig kiezen wat je tussen de kronkelige haakjes hebt geplaatst, zou je zo goed als tegen de logserver kunnen zeggen: “Log deze echte karakters niet in; behandel ze in plaats daarvan als een miniprogramma dat voor mij wordt uitgevoerd en voeg het antwoord in dat terugkomt.

Dus door precies het juiste soort boobytrap-gegevens te kiezen voor een server om te loggen, zoals een stiekem geconstrueerd e-mailadres of een valse achternaam, zou je misschien, heel misschien, programmacommando's naar de logger kunnen sturen, vermomd als gewone oude tekst.

Want flexibiliteit! Want gemak! Maar niet vanwege veiligheid!

Deze keer

Deze keer is de log-gerelateerde bug waarvoor we u waarschuwen CVE-2023-20864, een veiligheidsgat in VMWare's Aria-bewerkingen voor logboeken product (AOfL, vroeger bekend als vRealize Loginzicht).

Het slechte nieuws is dat VMWare deze bug een CVSS-score "beveiligingsgevaar" van 9.8/10 heeft gegeven, vermoedelijk omdat de fout kan worden misbruikt voor wat bekend staat als uitvoering van externe code (RCE), zelfs door netwerkgebruikers die nog niet zijn ingelogd op (of geen account hebben op) het AOfL-systeem.

RCE verwijst naar het type beveiligingslek dat we beschreven in het Log4Shell-voorbeeld hierboven, en het betekent precies wat het zegt: een aanvaller op afstand kan een deel van wat verondersteld wordt gewone oude gegevens te sturen, maar dat wordt uiteindelijk afgehandeld door het systeem als een of meer programmatische opdrachten.

Simpel gezegd, de aanvaller mag een programma naar eigen keuze uitvoeren, op een manier naar eigen keuze, bijna alsof ze een systeembeheerder hebben gebeld en hebben gezegd: "Log in met uw eigen account, open een terminalvenster en voer dan zonder twijfel de volgende reeks opdrachten voor mij uit.

Het goede nieuws in dit geval is, voor zover we weten, dat de bug niet kan worden geactiveerd door simpelweg misbruik te maken van het logproces via boobytrap-gegevens die worden verzonden naar een server die toevallig logs bijhoudt (wat vrijwel elke server ooit).

In plaats daarvan zit de bug in de AOfL-service "loginsight" zelf, dus de aanvaller heeft toegang nodig tot het deel van uw netwerk waar de AOfL-services daadwerkelijk worden uitgevoerd.

We gaan ervan uit dat de meeste netwerken waar AOfL wordt gebruikt, hun AOfL-services niet openstellen voor iedereen op internet, dus het is onwaarschijnlijk dat deze bug direct toegankelijk en activeerbaar is voor de rest van de wereld.

Dat is minder dramatisch dan Log4Shell, waar de bug, in ieder geval in theorie, zou kunnen worden geactiveerd door netwerkverkeer dat naar bijna elke server op het netwerk werd gestuurd die toevallig gebruik maakte van de Log4J-logcode, inclusief systemen zoals webservers die dat zouden moeten doen. openbaar toegankelijk zijn.

Wat te doen?

  • Patch zo snel mogelijk. Getroffen versies bevatten blijkbaar VMware Aria-bewerkingen voor logboeken 8.10.2, die moet worden bijgewerkt naar 8.12; en een oudere productsmaak die bekend staat als VMware Cloud Foundation versie 4.x, die eerst moet worden bijgewerkt naar versie 4.5 en vervolgens moet worden geüpgraded naar VMware Aria Operations for Logs 8.12.
  • Als u niet kunt patchen, beperk dan de toegang tot uw AOfL-services zoveel mogelijk. Zelfs als dit enigszins onhandig is voor uw IT-operatieteam, kan het het risico aanzienlijk verkleinen dat een oplichter die al ergens in uw netwerk voet aan de grond heeft, uw AOfL-services kan bereiken en misbruiken, en daardoor hun ongeautoriseerde toegang vergroten en uitbreiden.
spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.