Log4j Flaw

Hotpatch Amazon untuk Cacat Log4j Ditemukan Rentan terhadap Bug Eskalasi Privilege

“Hotpatch” yang dirilis oleh Amazon Internet Providers (AWS) sebagai tanggapan atas Log4Shell kerentanan dapat dimanfaatkan untuk pelarian kontainer dan eskalasi hak istimewa, memungkinkan penyerang untuk mengambil kendali dari host yang mendasarinya.

“Selain container, proses unprivileged juga dapat mengeksploitasi patch untuk meningkatkan hak istimewa dan mendapatkan eksekusi kode root,” peneliti Palo Alto Networks Unit 42 Yuval Avrahami dikatakan dalam laporan yang diterbitkan minggu ini.

Keamanan cyber

Isu- CVE-2021-3100, CVE-2021-3101, CVE-2022-0070dan CVE-2022-0071 (Skor CVSS: 8,8) — mempengaruhi solusi perbaikan terbaru dikirimkan oleh AWS, dan berasal dari fakta bahwa mereka dirancang untuk mencari proses Java dan menambalnya terhadap kelemahan Log4j dengan cepat tetapi tanpa memastikan bahwa proses Java baru dijalankan dalam batasan yang diberlakukan pada container.

“Setiap proses yang menjalankan biner bernama ‘java’ – di dalam atau di luar wadah – dianggap sebagai kandidat untuk scorching patch,” Avrahami menjelaskan. “Oleh karena itu, wadah berbahaya dapat menyertakan biner berbahaya bernama ‘java’ untuk mengelabui solusi scorching patch yang diinstal agar menjalankannya dengan hak istimewa yang lebih tinggi.”

Pada langkah berikutnya, hak istimewa yang ditinggikan dapat dipersenjatai oleh proses ‘java’ berbahaya untuk keluar dari wadah dan mendapatkan kontrol penuh atas server yang disusupi.

Keamanan cyber

Sebuah proses unprivileged nakal, dengan cara yang sama, bisa membuat dan mengeksekusi biner berbahaya bernama “java” untuk mengelabui layanan hotpatch agar menjalankannya dengan hak tinggi.

Pengguna adalah direkomendasikan untuk meningkatkan ke versi scorching patch yang diperbaiki sesegera mungkin untuk mencegah potensi eksploitasi, tetapi hanya setelah memprioritaskan patch terhadap kelemahan Log4Shell yang dieksploitasi secara aktif.

“Kontainer sering digunakan sebagai batas keamanan antara aplikasi yang berjalan di mesin yang sama,” kata Avrahami. “Pelarian kontainer memungkinkan penyerang untuk memperluas kampanye di luar satu aplikasi dan membahayakan layanan tetangga.”



Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts