El software de registro ha aparecido en los titulares de ciberinseguridad muchas veces antes, especialmente en el caso del error Apache Log4J conocido como Log4Shell esa Navidad arruinada para muchos administradores de sistemas a finales de 2021.
El agujero Log4Shell era un falla de seguridad en el proceso de registro en sí, y se reduce al hecho de que muchos sistemas de archivos de registro le permiten escribir lo que casi equivale a "miniprogramas" justo en el medio del texto que desea registrar, para que sus archivos de registro sean "más inteligentes". ” y más fácil de leer.
Por ejemplo, si le pidió a Log4J que registrara el texto I AM DUCK, Log4J haría precisamente eso.
Pero si incluyes los caracteres especiales de marcado ${...}, entonces por eligiendo cuidadosamente lo que insertó entre los corchetes ondulados, podría decirle al servidor de registro: “No registre estos caracteres reales; en su lugar, trátelos como un mini-programa para ejecutar para mí, e inserte la respuesta que aparece”.
Entonces, al elegir el tipo correcto de datos trampa para que un servidor los registre, como una dirección de correo electrónico construida a escondidas o un apellido falso, tal vez, solo tal vez, podría enviar comandos de programa al registrador disfrazados de texto simple.
¡Porque la flexibilidad! Porque comodidad! ¡Pero no por seguridad!
esta vez
Esta vez, el error relacionado con el registro del que le advertimos es CVE-2023-20864, agujero de seguridad in Operaciones Aria de VMWare para registros producto (AOfL, que solía ser conocido como Información de registro de vRealize).
La mala noticia es que VMWare le ha dado a este error un puntaje CVSS de "peligro de seguridad" de 9.8/10, presumiblemente porque se puede abusar de la falla para lo que se conoce como ejecución remota de código (RCE), incluso por usuarios de la red que aún no han iniciado sesión (o que no tienen una cuenta) en el sistema AOfL.
RCE se refiere al tipo de agujero de seguridad que describimos en el ejemplo anterior de Log4Shell, y significa exactamente lo que dice: un atacante remoto puede enviar una parte de lo que se supone que son datos antiguos, pero eso termina siendo manejado por el sistema. como uno o más comandos programáticos.
En pocas palabras, el atacante puede ejecutar un programa de su propia elección, de la manera que elija, casi como si hubiera llamado a un administrador de sistemas y dicho: "Inicie sesión con su propia cuenta, abra una ventana de terminal y luego ejecute la siguiente secuencia de comandos para mí, sin dudarlo.
La buena noticia en este caso, por lo que podemos decir, es que el error no puede activarse simplemente abusando del proceso de registro a través de datos trampa enviados a cualquier servidor que simplemente mantenga registros (que es prácticamente todo servidor alguna vez).
En cambio, el error está en el propio servicio de "información de registro" de AOfL, por lo que el atacante necesitaría acceder a la parte de su red donde realmente se ejecutan los servicios de AOfL.
Suponemos que la mayoría de las redes en las que se usa AOfL no tienen sus servicios AOfL abiertos para todos en Internet, por lo que es poco probable que este error sea directamente accesible y desencadenable por el mundo en general.
Eso es menos dramático que Log4Shell, donde el error podría, al menos en teoría, desencadenarse por el tráfico de red enviado a casi cualquier servidor en la red que usara el código de registro de Log4J, incluidos sistemas como servidores web que se suponía que ser de acceso público.
¿Qué hacer?
- Parche tan pronto como pueda. Las versiones afectadas aparentemente incluyen Operaciones de VMware Aria para registros 8.10.2, que debe actualizarse a 8.12; y un sabor de producto más antiguo conocido como VMware Cloud Foundation versión 4.x, que primero debe actualizarse a la versión 4.5 y luego actualizarse a VMware Aria Operations for Logs 8.12.
- Si no puede parchear, reduzca el acceso a sus servicios de AOfL tanto como pueda. Incluso si esto es un poco inconveniente para su equipo de operaciones de TI, puede reducir en gran medida el riesgo de que un delincuente que ya tiene un punto de apoyo en algún lugar de su red pueda acceder y abusar de sus servicios de AOfL y, por lo tanto, aumentar y extender su acceso no autorizado.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Fuente: https://nakedsecurity.sophos.com/2023/04/21/vmware-patches-break-and-enter-hole-in-logging-tools-update-now/
