بر اساس گزارشهای واصله به مرکز ماهر حملات گروههای باجافزاری به دیتاسنترها و هاستیگها از طریق آسیبپذیری log۴shell در محصولات VMWARE در حال وقوع است.
منبع : مرکز ماهر
بر اساس گزارشهای واصله به مرکز ماهر حملات گروههای باجافزاری به دیتاسنترها و هاستیگها از طریق آسیبپذیری log۴shell در محصولات VMWARE در حال وقوع است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بر اساس گزارشهای واصله به مرکز ماهر حملات گروههای باجافزاری به دیتاسنترها و هاستیگها از طریق آسیبپذیری log۴shell در محصولات VMWARE در حال وقوع است.
ضمن تاکید بر جداسازی ZONE مدیریتی و محدودیت شدید دسترسی به واسط وبی vcenter حتی از داخل شبکه، نسبت به اعمال وصلههای امنیتی مربوطه اقدام فوری انجام شود.
توصیه میشود با استفاده از ابزار زیر نسبت به ارزیابی آیپیهای داخلی شبکه برای یافتن آسیبپذیریهای احتمالی اقدام شود: https://cert.ir/news/۱۳۳۱۷
در صورتی که قصد دارید به صورت محلی بدون ارتباط با بیرون، IPهای داخل شبکه را نسبت به آسیبپذیری log۴shell تست کنید میتوانید از ابزار توسعه داده شده استفاده کنید. با استفاده از این ابزار تعدادی پورت پرکاربرد روی یک محدوده از آیپیها، در خصوص آسیبپذیر بودن log۴shell مورد بررسی قرار میگیرد. با استفاده از این ابزار هیچ اطلاعاتی در مورد سرور شما به خارج از شبکه ارسال نمیشود. البته بایستی بین مقاصد تست شده و ماشینی که ابزار اجرا میشود مسیریابی انجام شود و بستهها دو طرفه بتوانند حرکت کنند. دقت شود که فایروال ماشین ارزیاب در حین ارزیابی قطع باشد.
دقت شود که برای استفاده از این ابزار اولا دسترسی ادمین یا روت به برنامه داده شود و همچنین پورت ۱۳۸۹ در پروتکل tcp و پورت ۵۳ در پروتکل udp از سمت فایروال باز بوده و امکان دسترسی به آن از مقاصد تست به سمت ماشین ارزیاب وجود داشته باشد. به این منظور باید فایروال ماشین ارزیاب موقتا غیرفعال شود.
شکل کلی استفاده از ابزار به این صورت است: فرض کنیم آیپی ارزیاب ۱۹۲.۱۶۸.۱۰.۱۰۰ باشد. اگر هدف اسکن یک رنج آیپی داخلی باشد دستور به صورت زیر خواهد بود: log۴jScanner.exe scan --cidr=۱۹۲.۱۶۸.۱۰.۰/۲۴ --ldap-server=۱۹۲.۱۶۸.۱۰.۱۰۰:۱۳۸۹
در این صورت تعداد ۲۵۴ آیپی موجود در این بازه برای ۱۰ پورت متداول وب مورد اسکن قرار خواهد گرفت. استفاده از آرگومان ldap-server به این دلیل است که برنامه احیانا اشتباها آیپی دیگری از سیستم اسکنر را به عنوان سرور در نظر نگیرد.
اگر هدف اسکن یک آیپی خاص مثلا ۱۹۲.۱۶۸.۱۰.۱۱۳ باشد دستور به شکل زیر خواهد بود: log۴jScanner.exe scan --ip=۱۹۲.۱۶۸.۱۰.۱۱۳ --ldap-server=۱۹۲.۱۶۸.۱۰.۱۰۰:۱۳۸۹
استفاده از دیگر آرگومانهای برنامه دلخواه بوده و میتوان با دستور زیر همه آنها را مشاهده کرد: log۴jScanner.exe scan --help