וקטור תקיפה חדש של Log4j עלול לפגוע בספקיות אירוח

וקטור תקיפה חדש של החולשה החמורה שנחשפה באחרונה, Log4j, עלול להשפיע על ספקיות אירוח מקומיות, ולפגוע – גם כאשר לתוקף אין גישה לאינטרנט; כך חשפו אתמול (א') חוקרי אבטחה.

לפני ימים אחדים, מערך הסייבר הלאומי הוציא התרעה דחופה על חולשה חמורה בקוד הפתוח החינמי, שעלולה לגרום לחדירות למערכות המחשוב הארגוניות. חוקרי צ'ק פוינט צפו ביותר מ-840 אלף ניסיונות ניצול של החולשה. הם ציינו כי מעל מחצית ארגוני הממשל, הביטחון, הכספים, ההפצה, ספקיות האינטרנט וארגוני החינוך עלולים להיות מושפעים מהפגיעות.

החולשה התגלתה באחת מהתוכנות הפופולריות ביותר, האמונות על תיעוד פעילות המשתמשים בשירותים אינטרנטיים. התוכנה ,Logs4j, אמנם לא ממש מוכרת (לפחות עד לפרסום), אבל היא משובצת כמעט בכל שירות אינטרנטי או אפליקציה מוכרים, כולל טוויטר, אמזון, מיקרוסופט ומיינקראפט, בשרתי iCloud, בפתרונות IT ואבטחה ארגוניים, דוגמת VMWare Horizon ,Palo Alto Panorama, נט-אפ ו-Qradar, במצלמות CCTV ובמדפסות. זאת, כי החבילה הפגיעה משמשת במיליוני יישומי ג'אווה.

חוקרי חברת אבטחה אחרת – בלומירה – גילו וקטור תקיפה חדש, שבאמצעות שימוש בו אפילו מערכות מבודדות, בלי קישוריות לאינטרנט, עלולות להיות פגיעות באותה המידה. חוקרים אלה טוענים כי ניתן לנצל שירותים הפועלים באירוח מקומי, ללא חיבור חיצוני – ולפגוע בהם.

בפוסט שכתב מת'יו וורנר, סמנכ"ל הטכנולוגיות של בלומירה, הוא מתאר כיצד שחקן זדוני עלול לפגוע במכונות מקומיות. לדבריו, WebSockets, שהם כלים המאפשרים תקשורת מהירה ויעילה בין דפדפני ויישומי אינטרנט, עלולים לשמש ככלי תקיפה שדרכם יוזרקו נוזקות ליישומים ולשרתים פגיעים, שאין להם קישוריות לאינטרנט. זאת, לאחר שהתוקף שולח בקשה זדונית באמצעות WebSocket קיים.