Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Kerentanan Terkait DNS yang Tidak Ditambal Mempengaruhi Berbagai Perangkat IoT

by

Peneliti keamanan siber telah mengungkapkan kerentanan keamanan yang belum ditambal yang dapat menimbulkan risiko serius bagi produk IoT.

Masalah ini, yang awalnya dilaporkan pada September 2021, memengaruhi implementasi Domain Name System (DNS) dari dua pustaka C populer yang disebut uClibc dan uClibc-ng yang digunakan untuk mengembangkan sistem Linux tertanam.

uClibc diketahui digunakan oleh vendor besar seperti Linksys, Netgear, dan Axis, serta distribusi Linux seperti Embedded Gentoo, yang berpotensi mengekspos jutaan perangkat IoT ke ancaman keamanan.

“Kecacatan ini disebabkan oleh prediktabilitas ID transaksi yang termasuk dalam permintaan DNS yang dihasilkan oleh perpustakaan, yang memungkinkan penyerang melakukan serangan keracunan DNS terhadap perangkat target,” Giannis Tsaraias dan Andrea Palanca dari Nozomi Networks mengatakan dalam sebuah tulisan Senin- ke atas.

Keracunan DNS, juga disebut sebagai DNS spoofing, adalah teknik merusak cache resolver DNS yang memberi klien alamat IP yang terkait dengan nama domain dengan tujuan mengarahkan pengguna ke situs web berbahaya.

Eksploitasi bug yang berhasil dapat memungkinkan musuh melakukan serangan Man-in-the-Middle (MitM) dan merusak cache DNS, secara efektif mengalihkan lalu lintas internet ke server di bawah kendali mereka.

Nozomi Networks memperingatkan bahwa kerentanan dapat dieksploitasi secara sepele dengan cara yang andal jika sistem operasi dikonfigurasikan untuk menggunakan port sumber yang tetap atau dapat diprediksi.

“Penyerang kemudian dapat mencuri dan/atau memanipulasi informasi yang dikirimkan oleh pengguna, dan melakukan serangan lain terhadap perangkat tersebut untuk sepenuhnya membahayakan mereka,” kata para peneliti.

Sumber: The Hacker News

Kerentanan Microsoft Azure Mengekspos Database PostgreSQL ke Pelanggan Lain

by

Microsoft pada hari Kamis mengungkapkan bahwa itu mengatasi sepasang masalah dengan Database Azure untuk Server Fleksibel PostgreSQL yang dapat mengakibatkan akses database lintas-akun yang tidak sah di suatu wilayah.

“Dengan mengeksploitasi bug izin yang ditingkatkan dalam proses otentikasi Server Fleksibel untuk pengguna replikasi, pengguna jahat dapat memanfaatkan ekspresi reguler yang ditambatkan secara tidak benar untuk melewati otentikasi untuk mendapatkan akses ke basis data pelanggan lain,” kata Microsoft Security Response Center (MSRC).

Perusahaan keamanan cloud yang berbasis di New York City, Wiz, yang mengungkap kelemahan tersebut, menjuluki rantai eksploitasi itu “ExtraReplica.” Microsoft mengatakan telah mengurangi bug dalam waktu 48 jam setelah pengungkapan pada 13 Januari 2022.

Secara khusus, ini terkait dengan kasus eskalasi hak istimewa di mesin Azure PostgreSQL untuk mendapatkan eksekusi kode dan bypass otentikasi lintas-akun melalui sertifikat palsu, yang memungkinkan penyerang membuat database di wilayah Azure target dan mengekstrak informasi sensitif.

Dengan kata lain, keberhasilan eksploitasi kelemahan kritis dapat memungkinkan musuh untuk mendapatkan akses baca yang tidak sah ke database PostgreSQL pelanggan lain, secara efektif menghindari isolasi penyewa.

Wiz menelusuri eskalasi hak istimewa ke bug yang berasal dari modifikasi yang diperkenalkan di mesin PostgreSQL untuk memperkuat model hak istimewanya dan menambahkan fitur baru. Nama ExtraReplica berasal dari fakta bahwa exploit memanfaatkan fitur PostgreSQL yang memungkinkan penyalinan data database dari satu server ke server lain, yaitu, “mereplikasi” database.

Pembuat Windows menggambarkan kerentanan keamanan sebagai mempengaruhi contoh Server Fleksibel PostgreSQL yang digunakan menggunakan opsi jaringan akses publik, tetapi menekankan bahwa itu tidak menemukan bukti kelemahan yang dieksploitasi secara aktif dan bahwa tidak ada data pelanggan yang diakses.

Sumber: The Hacker News

Badan keamanan siber mengungkapkan kerentanan yang paling banyak dieksploitasi pada tahun 2021

by

Bekerja sama dengan NSA dan FBI, otoritas keamanan siber di seluruh dunia hari ini merilis daftar 15 kerentanan teratas yang secara rutin dieksploitasi oleh pelaku ancaman selama tahun 2021.

Otoritas keamanan siber mendesak organisasi dalam penasihat bersama untuk segera menambal kelemahan keamanan ini dan menerapkan sistem manajemen tambalan untuk mengurangi permukaan serangan mereka.

Secara global, aktor jahat telah diamati memfokuskan serangan mereka pada sistem yang menghadap internet, termasuk email dan server jaringan pribadi virtual (VPN), menggunakan eksploitasi yang menargetkan kerentanan yang baru diungkapkan.

“Otoritas keamanan siber AS, Australia, Kanada, Selandia Baru, dan Inggris menilai, pada tahun 2021, pelaku siber jahat secara agresif menargetkan kerentanan perangkat lunak kritis yang baru diungkapkan terhadap kumpulan target yang luas, termasuk organisasi sektor publik dan swasta di seluruh dunia,” bunyi nasihat itu.

Ini mungkin karena aktor jahat dan peneliti keamanan merilis eksploitasi proof of concept (POC) dalam waktu dua minggu sejak pengungkapan awal untuk sebagian besar bug yang dieksploitasi teratas sepanjang tahun 2021.

Namun, penyerang memfokuskan beberapa serangan mereka pada kerentanan lama yang ditambal bertahun-tahun sebelumnya, yang menunjukkan bahwa beberapa organisasi gagal memperbarui sistem mereka bahkan ketika tambalan tersedia.

Berikut aftar 15 kelemahan keamanan yang paling banyak dieksploitasi dengan tautan ke entri Basis Data Kerentanan Nasional dan malware terkait. Selengkapnya

Badan keamanan siber AS, Australia, Kanada, Selandia Baru, dan Inggris juga telah mengidentifikasi dan mengungkapkan 21 kerentanan keamanan tambahan yang biasa dieksploitasi oleh pelaku siber jahat selama tahun 2021, termasuk yang berdampak pada Accellion File Transfer Appliance (FTA), Windows Print Spooler, dan Pulse Secure Pulsa Hubungkan Aman.

Penasihat bersama mencakup langkah-langkah mitigasi yang akan membantu mengurangi risiko yang terkait dengan kelemahan penyalahgunaan teratas yang dijelaskan di atas.

CISA dan FBI juga menerbitkan daftar 10 kelemahan keamanan yang paling banyak dieksploitasi antara tahun 2016 dan 2019 dan bug teratas yang dieksploitasi secara rutin pada tahun 2020 bekerja sama dengan Pusat Keamanan Siber Australia (ACSC) dan Pusat Keamanan Siber Nasional Inggris (NCSC) ).

Pada November 2021, MITER juga membagikan daftar kelemahan keamanan pemrograman, desain, dan arsitektur paling berbahaya yang mengganggu perangkat keras pada tahun 2021 dan 25 kelemahan paling umum dan berbahaya yang mengganggu perangkat lunak selama dua tahun sebelumnya.

Sumber: Bleeping Computer

Microsoft menemukan kelemahan desktop Linux yang memberikan root kepada pengguna yang tidak tepercaya

by

Microsoft menemukan kerentanan yang memudahkan orang-orang yang memiliki akses di banyak sistem desktop Linux untuk mendapatkan hak sistem root, peningkatan terbaru dari kelemahan hak istimewa yang terungkap di OS open source.

Karena sistem operasi telah dikeraskan untuk menahan kompromi dalam beberapa tahun terakhir, kerentanan elevasi hak istimewa (EoP) telah menjadi unsur penting bagi sebagian besar peretasan yang sukses.

Mereka dapat dieksploitasi bersama dengan kerentanan lain yang sering dianggap kurang parah, mereka memberikan akses lokal dan yang pertama meningkatkan akses root. Dari sana, musuh dengan akses fisik atau hak sistem terbatas dapat menyebarkan pintu belakang atau mengeksekusi kode pilihan mereka.

Nimbuspwn, seperti yang disebut Microsoft sebagai ancaman EoP, adalah dua kerentanan yang berada di networkd-dispatcher, komponen di banyak distribusi Linux yang mengirimkan perubahan status jaringan dan dapat menjalankan berbagai skrip untuk merespons status baru.

Cacat, dilacak sebagai CVE-2022-29799 dan CVE-2022-29800, menggabungkan ancaman termasuk traversal direktori, balapan symlink, dan kondisi balapan time-of-check time-of-use (TOCTOU). Setelah meninjau kode sumber Networkd -dispatcher, peneliti Microsoft Jonathan Bar Or memperhatikan bahwa komponen yang dikenal sebagai “_run_hooks_for_state” mengimplementasikan logika berikut:

Daftar daftar skrip yang tersedia dengan menjalankan metode “get_script_list”, yang memanggil metode “scripts_in_path” terpisah yang dimaksudkan untuk mengembalikan semua file yang disimpan di direktori “/etc/networkd-dispatcher/.d”.

Run_hooks_for_state membiarkan sistem Linux terbuka untuk kerentanan direktori-traversal, yang ditetapkan sebagai CVE-2022-29799, karena tidak ada fungsi yang digunakannya secara memadai membersihkan status yang digunakan untuk membangun jalur skrip yang tepat dari input berbahaya. Peretas dapat mengeksploitasi kelemahan untuk keluar dari direktori dasar “/etc/networkd-dispatcher”.

Run-hooks_for_state berisi cacat terpisah, CVE-2022-29800, yang membuat sistem rentan terhadap kondisi balapan TOCTOU karena ada waktu tertentu antara skrip ditemukan dan skrip dijalankan.

Musuh dapat mengeksploitasi kerentanan yang terakhir ini untuk mengganti skrip yang diyakini networkd-dispatcher dimiliki oleh root dengan skrip jahat pilihan musuh. Untuk memastikan Linux mengeksekusi skrip berbahaya yang disediakan peretas daripada skrip yang sah, peretas menanam beberapa skrip hingga akhirnya berhasil.

Seorang peretas dengan akses minimal ke desktop yang rentan dapat menyatukan eksploitasi untuk kerentanan ini yang memberikan akses root penuh.

Untuk mendapatkan akses root yang persisten, peneliti menggunakan alur eksploit untuk membuat pintu belakang. Proses untuk ini adalah:

Salin /bin/sh ke /tmp/sh.
Mengubah /tmp/sh baru menjadi biner Set-UID (SUID)
Jalankan /tmp/sh -p. Bendera “-p” diperlukan karena cangkang modern menjatuhkan hak istimewa berdasarkan desain.

Eksploitasi proof-of-concept hanya berfungsi jika dapat menggunakan nama bus “org.freedesktop.network1”. Peneliti menemukan beberapa lingkungan di mana ini terjadi, termasuk Linux Mint, di mana systemd-networkd secara default tidak memiliki nama bus org.freedodesktop.network1 saat boot.

Peneliti juga menemukan beberapa proses yang berjalan sebagai pengguna jaringan systemd, yang diizinkan untuk menggunakan nama bus yang diperlukan untuk menjalankan kode arbitrer dari lokasi yang dapat ditulis di dunia. Proses yang rentan mencakup beberapa plugin gpgv, yang diluncurkan saat apt-get menginstal atau meningkatkan, dan Erlang Port Mapper Daemon, yang memungkinkan menjalankan kode arbitrer dalam beberapa skenario.

Kerentanan telah ditambal di networkd-dispatcher, meskipun tidak segera jelas kapan atau dalam versi apa, dan upaya untuk menjangkau pengembang tidak segera berhasil. Orang yang menggunakan versi Linux yang rentan harus menambal sistem mereka sesegera mungkin.

Sumber : Arstechnica

Peretas mengeksploitasi kelemahan penting VMware RCE untuk memasang pintu belakang

by

Peretas tingkat lanjut secara aktif mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE), CVE-2022-22954, yang memengaruhi VMware Workspace ONE Access (sebelumnya disebut VMware Identity Manager).

Masalah ini telah diatasi dalam pembaruan keamanan 20 hari yang lalu bersama dengan dua RCE lainnya – CVE-2022-22957 dan CVE-2022-22958 yang juga memengaruhi VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Segera setelah pengungkapan kelemahan tersebut kepada publik, kode eksploitasi bukti konsep (PoC) muncul di ruang publik, memungkinkan peretas memanfaatkan untuk menargetkan penyebaran produk VMware yang rentan. VMware mengkonfirmasi eksploitasi CVE-2022-22954 di alam liar.

Sekarang, para peneliti di Morphisec melaporkan melihat eksploitasi dari aktor ancaman persisten tingkat lanjut (APT), khususnya kelompok peretasan Iran yang dilacak sebagai APT35, alias “Rocket Kitten.”

Musuh mendapatkan akses awal ke lingkungan dengan mengeksploitasi CVE-2022-22954, satu-satunya di trio RCE yang tidak memerlukan akses administratif ke server target dan juga memiliki eksploitasi PoC yang tersedia untuk umum.

Serangan dimulai dengan mengeksekusi perintah PowerShell pada layanan yang rentan (Identity Manager), yang meluncurkan stager.

Stager kemudian mengambil pemuat PowerTrash dari server perintah dan kontrol (C2) dalam bentuk yang sangat dikaburkan dan memuat agen Dampak Inti ke dalam memori sistem.

Aliran serangan APT35 (Morphisec)

Core Impact adalah alat pengujian penetrasi yang sah yang disalahgunakan untuk tujuan jahat dalam kasus ini, mirip dengan bagaimana Cobalt Strike digunakan dalam kampanye jahat.

“Penelitian Morphisec mengamati penyerang yang sudah mengeksploitasi kerentanan ini (CVE-2022-22954) untuk meluncurkan backdoor HTTPS terbalik—terutama Cobalt Strike, Metasploit, atau Core Impact beacon” – Morphisec

CTO Morphisec Michael Gorelik mengatakan bahwa penyerang mencoba gerakan lateral pada jaringan, meskipun pintu belakang dihentikan.

Morphisec dapat mengambil alamat C2 server stager, versi klien Core Impact, dan kunci enkripsi 256-bit yang digunakan untuk komunikasi C2, dan akhirnya menghubungkan operasi tersebut dengan orang tertentu bernama Ivan Neculiti dan sebuah perusahaan bernama Stark Industries.

Beberapa perusahaan dalam database paparan penipuan yang mencantumkan nama Neculiti sebagai rekanan atau penerima manfaat. Basis data tersebut mencakup perusahaan hosting yang diduga mendukung situs web ilegal yang digunakan dalam kampanye spam dan phishing.

Pembaruan [26 April, 12:04]: BleepingComputer menerima pernyataan dari P.Q. Hosting S.R.L., yang berkantor pusat di Moldova dan perusahaan induk Stark Industries, menolak keterlibatan mereka yang disengaja dalam kegiatan ilegal:

Sumber: Bleeping Computer

Kesalahan Palo Alto Networks mengekspos kasus dukungan pelanggan, lampiran

by

Sebuah bug di dasbor dukungan Palo Alto Networks (PAN) mengekspos ribuan tiket dukungan pelanggan ke individu yang tidak berwenang, BleepingComputer telah mempelajarinya.

Informasi yang terungkap termasuk, nama dan informasi kontak (bisnis) dari orang yang membuat tiket dukungan, percakapan antara anggota staf Palo Alto Networks dan pelanggan.

Bukti yang dibagikan dengan BleepingComputer menunjukkan beberapa tiket dukungan berisi lampiran—seperti log firewall, konfigurasi dump, dan aset debug lainnya yang dibagikan dengan staf PAN oleh pelanggan.

Palo Alto Networks, penyedia terkemuka produk keamanan siber dan jaringan serta firewall, mengatakan kepada BleepingComputer bahwa masalah tersebut kini telah diperbaiki—sekitar delapan hari setelah dilaporkan.

Saat menyadari kesalahan akses, pelanggan memberi tahu BleepingComputer bahwa mereka segera memberi tahu Palo Alto Networks, baik dengan mengajukan “permintaan dukungan kritis” dan menghubungi anggota PAN tertentu di LinkedIn.

BleepingComputer menghubungi PAN untuk lebih memahami ruang lingkup dan dampak kebocoran data ini.

PAN mengatakan bahwa tidak ada data yang diunduh dan menyiratkan bahwa cakupan kebocoran tetap terbatas hanya pada satu pelanggan:

“Kami diberitahu tentang masalah yang memungkinkan pelanggan resmi untuk melihat sebagian kecil kasus dukungan, yang biasanya tidak dapat mereka lihat,” kata juru bicara Palo Alto Networks kepada BleepingComputer.

“Kami segera memulai penyelidikan dan mengidentifikasi itu karena kesalahan kesalahan konfigurasi izin dalam sistem pendukung.”

“Analisis kami mengkonfirmasi tidak ada data yang diunduh atau diubah, dan masalah ini segera diperbaiki.”

Namun, perhatikan, perbaikan bug memakan waktu sekitar delapan hari, setelah itu akses pelanggan tersebut ke 1.900 tiket yang tidak terkait dicabut.

PAN tidak menjawab apakah memberi tahu pelanggan yang informasinya terpengaruh oleh bug kebocoran data, atau jika berencana melakukannya.

Saat ini, perusahaan mengatakan, tidak ada tindakan pelanggan yang diperlukan dan yakin bahwa produk dan layanannya aman.

Selengkapnya: Bleeping Computer

Cacat keamanan kriptografik Java telah ditambal

by

Java versi 15 hingga 18 mengandung cacat dalam validasi tanda tangan ECDSA-nya yang membuatnya sepele bagi penjahat untuk menandatangani file dan data lain secara digital seolah-olah mereka adalah organisasi yang sah.

Oleh karena itu, penjahat dunia maya dapat menyebarkan unduhan berbahaya yang ditandatangani secara kriptografis dan informasi palsu seolah-olah itu nyata, dan aplikasi serta layanan Java yang terpengaruh tidak akan mengetahui perbedaannya.

Cakupan kerusakan yang dapat terjadi sangat luas: komunikasi terenkripsi, token otentikasi, pembaruan kode, dan banyak lagi, yang dibangun di atas kode cacat Oracle dapat ditumbangkan, dan sejauh menyangkut program yang ditulis dengan Java, data terlihat sah dan dapat dipercaya.

Kesalahan itu ditambal bulan ini oleh Oracle di antara lebih dari 500 kerentanan yang ditangani oleh raksasa basis data kuartal ini – jadi, seperti biasa, perbarui lebih awal dan perbarui sesering mungkin.

ECDSA adalah singkatan dari Elliptic Curve Digital Signature Algorithm. Ini menggunakan kriptografi kurva eliptik, yang implementasinya telah mengalami berbagai masalah selama bertahun-tahun.

Meskipun Oracle hanya memberikan kelemahan keamanan terbaru ini (CVE-2022-21449) peringkat keparahan 7,5 dari 10, konsultan keamanan ForgeRock yang mengatakan telah mengetahuinya, dan mengungkapkannya secara pribadi, pada bulan November menilai kerentanan sepuluh.

Yang sangat menarik tentang masalah ini adalah sangat mudah untuk dieksploitasi, dan kesalahan pemrograman yang jelas. Bug tersebut diperkenalkan ketika bagian dari kode verifikasi tanda tangan Java 15 ditulis ulang dari C++ asli ke dalam Java itu sendiri termasuk kode verifikasi ECDSA.

Untuk menyederhanakan apa yang terjadi, tanda tangan ECDSA terdiri dari sepasang angka, disebut sebagai (r, s). Untuk memverifikasi tanda tangan, kode melakukan beberapa matematika yang melibatkan hash (sidik jari, jika Anda mau) dari data, kunci publik dari organisasi atau orang mana pun yang menandatangani data secara digital, r, dan s; satu sisi persamaan menggunakan r, sisi lain r dan s.

Kedua sisi perhitungan ini harus sama agar pemeriksaan tanda tangan lolos. Itu berarti data ditandatangani secara digital oleh kunci pribadi penandatangan, yang menunjukkan bahwa data berasal dari atau disetujui oleh penandatangan. Jika pemeriksaan tanda tangan gagal, itu kemungkinan berarti siapa pun yang menandatangani data bukanlah seperti yang mereka katakan (karena mereka tidak memiliki akses ke rahasia, kunci pribadi yang sesuai dengan kunci publik yang diberikan) dan data tidak boleh tepercaya.

Secara teori, agar tanda tangan valid, (r, s) tidak boleh (0, 0) karena beberapa matematika melibatkan perkalian angka-angka ini dengan nilai lain. Bug muncul karena kode C++ asli memeriksa bahwa r dan s bukan nol, dan tidak akan menerima tanda tangan jika memang demikian. Kode Java baru tidak memeriksa, itu hanya melanjutkan dan dihitung dengan nilai-nilai.

Hasilnya adalah bahwa dalam versi kode yang terpengaruh, siapa pun yang menunjukkan tanda tangan kosong akan diterima. Jalur verifikasi normal masih berfungsi dengan baik, itulah sebabnya hal ini tidak diperhatikan dua tahun lalu. Itu baru saja menerima (0,0), dan berhasil memvalidasinya.

Dan ini adalah di atas kelemahan eksekusi kode jarak jauh gazillon, tanpa otentikasi yang diperlukan untuk mengeksploitasi, di produk Oracle lainnya. ®

Cacat ini telah dijelaskan oleh Neil Madden dari ForgeRock sebagai kerentanan kertas psikis, setelah perangkat plot dari episode Doctor Who 2007. Hering kutu buku Anda yang rendah hati menganggapnya lebih seperti kartu imp dari novel 1987 A A Attanasio In Other Worlds:

Anda akan menerima artefak ketiga dan terakhir, pelat magnet penghubung imp. Kelihatannya identik dengan kartu charge, hanya saja warnanya putih bersih. Masukkan ke dalam sistem komputer bank mana pun dan Anda akan dikreditkan dengan sejumlah besar modal nyata.

Sumber : The Register

Hot Patch Log4Shell AWS Rentan Terhadap Pelarian Kontainer dan Eskalasi Hak Istimewa

by

Setelah Log4Shell, AWS merilis beberapa solusi hot patch yang memantau aplikasi Java yang rentan dan kontainer Java dan menambalnya dengan cepat. Setiap solusi sesuai dengan lingkungan yang berbeda, meliputi server mandiri, kluster Kubernetes, kluster Elastic Container Service (ECS) dan Fargate. Hot patch tidak eksklusif untuk lingkungan AWS dan dapat diinstal ke cloud atau lingkungan lokal apa pun.

Peneliti Unit 42 mengidentifikasi masalah keamanan yang parah dalam solusi patching ini dan bermitra dengan AWS untuk memulihkannya. Setelah menginstal layanan patch ke server atau cluster, setiap kontainer di lingkungan itu dapat memanfaatkannya untuk mengambil alih host yang mendasarinya. Misalnya, jika Anda menginstal hot patch ke kluster Kubernetes, setiap kontainer di kluster Anda sekarang dapat melarikan diri sampai Anda menonaktifkan hot patch-nya atau meningkatkan ke versi tetap. Selain kontainer, proses yang unprivilege juga dapat mengeksploitasi patch untuk meningkatkan hak istimewa dan mendapatkan eksekusi kode root.

Kontainer dapat lolos terlepas mereka menjalankan aplikasi Java atau host menjalankan Bottlerocket, distribusi Linux AWS yang mengeras untuk kontainer. Kontainer yang berjalan dengan nama pengguna atau sebagai pengguna non-root juga terpengaruh. Unit 42 menugaskan CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 dan CVE-2022-0071 untuk melacak kerentanan.

AWS merilis versi tetap untuk setiap solusi patch panas pada 19 April:

  • Versi 1.1-16 dari paket log4j-cve-2021-44228-hotpatch, yang menggabungkan layanan hot patch.
  • Versi 1.1-16 dari kubernetes-log4j-cve-2021-44228-node-agent Daemonset, yang menginstal paket yang diperbarui.
  • Versi 1.02 dari Hotdog, solusi hot patch untuk host Bottlerocket berdasarkan kait Open Container Initiative (OCI).

Unit 42 menyarankan siapa saja yang menginstal salah satu hot patch ini untuk meningkatkan ke versi tetap. Perhatikan bahwa mulai dari 17 Desember 2021, paket JDK (instalasi Java) di Amazon Linux secara otomatis menginstal paket log4j-cve-2021-44228-hotpatch. Atau, pengguna yang yakin aplikasi mereka ditambal terhadap Log4Shell dapat menonaktifkan layanan hot patch mengikuti instruksi di bagian mitigasi di bawah ini.

Prisma Cloud mendeteksi paket patch panas dan akan memperingatkan host yang menjalankan versi rentan.

Selengkapnya: Paloalto Networks