Palo Alto Networks avisa que um patch lançado pela Amazon para proteger a AWS de problemas importantes no Apache Log4j, incluindo a vulnerabilidade Log4Shell, representa uma ameaça para os usuários.
O patch pode ser usado para escapar do contêiner e aumentar privilégios, permitindo que um invasor assuma o controle do host subjacente.
Deixe-me lembrá-lo que em dezembro do ano passado, logo depois que pesquisadores de segurança cibernética ficaram alarmados com problemas em ApacheLog4j, Amazon lançou patches de emergência que corrigem bugs em vários ambientes, incluindo servidores, Kubernetes, Serviço de contêiner elástico (SEC) e Fargate. O objetivo dos hotpatches era corrigir vulnerabilidades rapidamente enquanto os administradores de sistema transitavam seus aplicativos e serviços para uma versão segura do Log4j.
Gostaria também de lembrar que logo após a descoberta de vulnerabilidades, verdadeiros ataques ao Log4Shell foram gravados. Além disso, os especialistas também descobriram que Grupo hacker chinês Panda Aquático explora Log4Shell para hackear instituições educacionais.
No entanto, como Redes Palo Alto agora descobriu, os patches não tiveram muito sucesso e poderiam, entre outras coisas, levar à captura de outros contêineres e aplicativos clientes no host.
Os especialistas mostraram um vídeo demonstrando um ataque à cadeia de suprimentos com a imagem maliciosa do contêiner e o uso de um patch anterior. De forma similar, recipientes comprometidos podem ser usados para “escapar” e assumir o controle do host subjacente. Redes Palo Alto decidiu não compartilhar detalhes sobre esta exploração ainda, para que os invasores não possam usá-lo.
Na próxima etapa, privilégios elevados podem ser usados por um processo java malicioso para escapar do contêiner e assumir o controle total do servidor comprometido.
Usuários são aconselhados a atualizar para a versão corrigida do hotpatch o mais rápido possível, a fim de evitar a exploração de bugs relacionados.
