2021
12
24

WebSocket成Log4j漏洞攻擊新管道,連不對外網路主機也曝險[轉載於iThome]

關鍵字:網頁設計程式設計JAVA程式設計資訊安全系統開發

公開兩周的Apache Log4j漏洞,讓全球伺服器管理員疲於奔命忙著修補漏洞及更新軟體。一項研究發現,本漏洞也可能讓包含這項軟體元件的終端機器、或本地主機被遠端執行程式碼。

這是安全廠商Blumira在Log4j軟體的CVE-2021-44228漏洞發現的另一個攻擊管道。原本該漏洞出在Log4j的JNDI API未能驗證由遠端LDAP、或其他端點發送修改過參數的log訊息,讓遠端攻擊者可從LDAP伺服器下載惡意程式碼至受害伺服器執行。這種情況下,主要是執行Jog4j的對外伺服器曝險。

但Blumira團隊發現,攻擊者也可以使用Javascript WebSocket連線來觸發這漏洞,以便在用戶機器上遠端執行程式碼。WebSocket是現代瀏覽器都支援的協定,可用於許多種任務,像是從網站傳送通訊訊息或警示到瀏覽器,讓瀏覽器能快速回覆訊息。

但研究人員指出,WebSocket並不像一般跨域的HTTP請求,受同源政策(same-origin policy)規範,而是需伺服器本身自行驗證呼叫來源。這就可能引發跨網域攻擊,由惡意網站呼叫另一網站的服務。這缺點曾被用在以WebSocket連線傳送惡意呼叫到線纜數據機,或是今天的主角:本地主機。此類攻擊手法也可用來掃瞄本地主機開放的傳輸埠。

用戶端本身一般並不能直接控管WebSocket連線,後者是在網頁下載時悄悄啟動。更糟的是,用戶主機內的WebSocket連線可能很難看到連線內容,使得此類攻擊的偵測更加困難。

傑立資訊傑立資訊事業有限公司
Powered by AWS Cloud Computing

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.| 網站隱私政策