Специалисты CISA и CrowdStrike подготовили сканеры для обнаружения уязвимостей в Log4j - «Новости»

  • 10:30, 26-дек-2021
  • Новости / Преимущества стилей / Изображения / Статьи об афоризмах / Текст / Списки
  • Роман
  • 0

На этой неделе агентства по кибербезопасности из Австралии, Канады, Новой Зеландии, США и Великобритании выпустили совместные рекомендации по реагированию на множественные уязвимости, обнаруженные в библиотеке Log4j. Помимо рекомендаций также были опубликованы и бесплатные сканеры.


Как предсказывают многие ИБ-специалисты, проблемы в популяр­ной биб­лиоте­ке журналирования Log4j, которая вхо­дит в сос­тав Apache Logging Project, останутся с нами надолго. Ранее мы уже рассказывали о проблемах в Log4j подробно, и как стало известно уже после выхода этой статьи, в библиотеке были найдены дополнительные баги.


Напомню, что уязвимостями в Log4j уже активно злоупотребляют майнеры, APT-группировки, операторы шифровальщиков (включая Khonsari, Conti и TellYouThePass) и другой малвари, включая известный банковский троян Dridex.


Теперь эксперты Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA) и специалисты компании CrowdStrike выпустили собственные сканеры для обнаружения связанных с Log4j багов.


Сканер CISA предназначен для выявления веб-сервисов, уязвимых перед RCE-багами CVE-2021-44228 и CVE-2021-45046.


«Проект log4j-scanner создан членами опенсорсного сообщества разработчиков и командой CISA Rapid Action Force, чтобы помочь организациям выявлять потенциально уязвимые веб-сервисы, затронутые уязвимостями в Log4j», — поясняют эксперты.


По сути, сканер основан на аналогичных инструментах, в том числе на фреймворке, созданном компанией FullHunt для автоматического обнаружения ошибки CVE-2021-44228 (Log4Shell). Данный инструмент позволяет сканировать сетевые хосты в поисках Log4j RCE и обнаруживать обходы WAF, которые могут позволить злоумышленникам добиться выполнения кода.


CISA подчеркивает, что log4j-scanner обладает следующими функциями:



  • поддержка списков URL-адресов;

  • фаззинг более чем 60 заголовков HTTP-запросов;

  • фаззинг для параметров HTTP POST;

  • фаззинг для параметров JSON;

  • поддерживается DNS callback для обнаружения и проверки уязвимостей;

  • пейлоады для обхода WAF.


Похожий сканер на этой неделе представили и специалисты компании CrowdStrike. Инструмент получил название CrowdStrike Archive Scan Tool (или CAST).


Йотам Перкаль (Yotam Perkal), руководитель исследования уязвимостей в компании Rezilion, протестировал некоторые сканеры для Log4J и обнаружил, не все они одинаково хорошо находят уязвимости.


В Rezilion провели проверку девяти наиболее популярных у ИБ-специалистов сканеров и пришли к выводу, что сложнее всего обнаружить Log4Shell в packaged ПО в производственных средах: файлы Java (такие как Log4j) могут быть вложены на несколько уровней в другие файлы, и поверхностный поиск их не обнаруживает. Перкаль резюмирует, что некоторые сканеры работают лучше других, но ни один из них не может обнаружить все потенциально опасные форматы.




На этой неделе агентства по кибербезопасности из Австралии, Канады, Новой Зеландии, США и Великобритании выпустили совместные рекомендации по реагированию на множественные уязвимости, обнаруженные в библиотеке Log4j. Помимо рекомендаций также были опубликованы и бесплатные сканеры. Как предсказывают многие ИБ-специалисты, проблемы в популяр­ной биб­лиоте­ке журналирования Log4j, которая вхо­дит в сос­тав Apache Logging Project, останутся с нами надолго. Ранее мы уже рассказывали о проблемах в Log4j подробно, и как стало известно уже после выхода этой статьи, в библиотеке были найдены дополнительные баги. Напомню, что уязвимостями в Log4j уже активно злоупотребляют майнеры, APT-группировки, операторы шифровальщиков (включая Khonsari, Conti и TellYouThePass) и другой малвари, включая известный банковский троян Dridex. Теперь эксперты Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA) и специалисты компании CrowdStrike выпустили собственные сканеры для обнаружения связанных с Log4j багов. Сканер CISA предназначен для выявления веб-сервисов, уязвимых перед RCE-багами CVE-2021-44228 и CVE-2021-45046. «Проект log4j-scanner создан членами опенсорсного сообщества разработчиков и командой CISA Rapid Action Force, чтобы помочь организациям выявлять потенциально уязвимые веб-сервисы, затронутые уязвимостями в Log4j», — поясняют эксперты. По сути, сканер основан на аналогичных инструментах, в том числе на фреймворке, созданном компанией FullHunt для автоматического обнаружения ошибки CVE-2021-44228 (Log4Shell). Данный инструмент позволяет сканировать сетевые хосты в поисках Log4j RCE и обнаруживать обходы WAF, которые могут позволить злоумышленникам добиться выполнения кода. CISA подчеркивает, что log4j-scanner обладает следующими функциями: поддержка списков URL-адресов; фаззинг более чем 60 заголовков HTTP-запросов; фаззинг для параметров HTTP POST; фаззинг для параметров JSON; поддерживается DNS callback для обнаружения и проверки уязвимостей; пейлоады для обхода WAF. Похожий сканер на этой неделе представили и специалисты компании CrowdStrike. Инструмент получил название CrowdStrike Archive Scan Tool (или CAST). Йотам Перкаль (Yotam Perkal), руководитель исследования уязвимостей в компании Rezilion, протестировал некоторые сканеры для Log4J и обнаружил, не все они одинаково хорошо находят уязвимости. В Rezilion провели проверку девяти наиболее популярных у ИБ-специалистов сканеров и пришли к выводу, что сложнее всего обнаружить Log4Shell в packaged ПО в производственных средах: файлы Java (такие как Log4j) могут быть вложены на несколько уровней в другие файлы, и поверхностный поиск их не обнаруживает. Перкаль резюмирует, что некоторые сканеры работают лучше других, но ни один из них не может обнаружить все потенциально опасные форматы.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!