April 22nd, 2022CyberHoot har undersøkt en sårbarhet i et Java-produkt som ble sporet som CVE-2022-21449 som gjør at kontoer kan utnyttes eksternt uten autentisering. Med andre ord kan denne sårbarheten utnyttes utenfor nettverket ditt av noen som ikke har autentisert seg i miljøet ditt. Dette gjøres gjennom en sårbarhet som har å gjøre med digital signatur av disse autentisering.
Ved innsending av en digital signatur basert på Elliptisk kurvekryptografi, du skal bevise overfor mottakeren at du har tilgang til privat nøkkel som tilsvarer offentlig nøkkel som de vil bruke til å bekrefte signaturen din.
Enkelt sagt tar du en hash med fast lengde (f.eks. SHA-256) av dataene du vil autentisere, for eksempel en e-postmelding eller en programvareoppdatering, signerer hashen med din private nøkkel og sender inn hash og signaturen. Mottakeren bruker den samsvarende offentlige nøkkelen til å bekrefte hashen, og bruker deretter hashen til å bekrefte meldingen (som derfor kan være vilkårlig lang).
Fordi den private nøkkelen din ikke kan utregnes bakover fra den tilsvarende offentlige nøkkelen, kan den offentlige nøkkelen din bokstavelig talt gjøres offentlig og attesteres for å samsvare med den private nøkkelen din på mange måter.
Med andre ord kan du ikke fremlegge en digital signatur som vil bestå med mindre du har tilgang til den relevante private nøkkelen. Så hvis mottakeren antar at du har tatt vare på den private nøkkelen din med den forsiktigheten den fortjener, gir denne typen signatursjekk et viktig nivå av verifisering i dagens online utveksling av kode og data.
Men, som sikkerhetsforsker Madden oppdaget og rapporterte til Oracle i desember i fjor, hackere kan bruke en helt blank «psykisk signatur» hvis den presenteres for Javas Elliptic Curve-verifiseringskode, som vil bli flagget som gyldig når den «verifiseres» mot noen offentlig nøkkel.
Med andre ord, en angriper må enten hacke seg inn i nettverket ditt og stjele dine private nøkler for å utgi seg for å være deg, eller bare presentere en blank signatur for å bestå prøven hver gang!
Oppdater din versjon av Java så fort du kan!
De nyeste Java-versjonene er Java 17 (langsiktig støtte) og Java 18, som oppdateres til 17.0.3 og 18.0.1 henholdsvis.
Eldre, men fortsatt støttede versjoner som også har blitt oppdatert, er Java 7, Java 8 og Java 11, som oppdateres til versjon 7u341, versjon 8u331 og 11.0.15 henholdsvis.
Husk at det er mulig å ha flere Java-versjoner installert samtidig, i form av Java Development Kit (JDK) eller Java Runtime Environment (JRE).
Du kan se etter tilgjengelige Java-versjoner på datamaskinen din ved å søke etter programfiler som heter java (eller java.exe på Windows).
Du kan sjekke hvilken versjon hver Java-kjørbare fil representerer ved å kjøre kommandoen java -version.
Hvis du abonnerer på CyberHoots tjenester, har du tilgang til vårt bibliotek for retningslinjer og prosesser, som inneholder dokumentet for håndtering av sårbarhetsvarsler. Dette dokumentet beskriver hvordan man skal reagere på slike situasjoner og innen hvilken tidsramme. Hvis bedriften din ennå ikke har tatt i bruk en VAMP-lignende prosess, er det nå et godt tidspunkt å komme i gang.
Oppdag og del de nyeste trendene, tipsene og beste praksisene innen cybersikkerhet – i tillegg til nye trusler du bør se opp for.
Ett glemt passord, nesten en katastrofe. En enkelt Windows-maskin i en butikk hadde en hurtigbufret...
Les mer
Du har nå fem viktige grunner til å starte en samtale om rutersikkerhet med småbedriftskunderne dine i dag...
Les mer
OAuth-tokener utløper ikke når ansatte slutter, passord endres eller apper blir uønskede. Sikkerhetsprogrammet ditt trenger...
Les merFå et skarpere blikk på menneskelige risikoer, med den positive tilnærmingen som slår tradisjonell phishing-testing.
