Una herramienta de desofuscación de Log4Shell promete un análisis de carga útil simple y rápido sin el riesgo de «efectos secundarios críticos» presentado en Black Hat USA. La utilidad de código abierto expone cargas útiles sin ejecutar código Java vulnerable.
La utilidad de código abierto Ox4Shell fue mostrada en Las Vegas el 10 de agosto por Daniel Abeles y Ron Vider de AppSec Oxeye.
La herramienta ofrece una potente combinación de funcionalidades que faltan en otros desofuscadores de Log4j en Apache, la utilidad de registro de Java tan ampliamente distribuida. La vulnerabilidad ‘Log4Shell‘ (CVE-2021-44228) afecta a cientos de millones de dispositivos.
Los investigadores no pudieron encontrar ninguna otra herramienta que fuera tan fácil de usar como Ox4Shell, un simple script de Python, que no requería que el usuario ejecutara ningún código vulnerable en el proceso.
Realizando pruebas, se emularon la mayoría de las transformaciones que haría código Java paralelo, sin el riesgo de ejecutar código Java vulnerable. Esto es especialmente importante cuando se integran tales herramientas en un entorno de producción para garantizar que no haya efectos secundarios críticos.
Maximización de la precisión
Con cargas útiles ofuscadas, que resultan lentas y tediosas de procesar, la mayoría de los ingenieros de seguridad pueden sentirse intimidados, incluso aquellos más experimentados. Con esta herramienta, Oxeye proporciona a la comunidad de seguridad una forma sencilla y rápida de desofuscar las cargas útiles de Log4Shell.
Este proceso culminó con el lanzamiento de Ox4Shell en enero de 2022, un mes después de que apareciera Log4Shell.
La herramienta contrarresta los intentos de los actores maliciosos de eludir las reglas WAF y complicar el análisis de exploits, decodificando los comandos base64 de la carga, de una forma intuitiva y legible, revelando así su verdadera funcionalidad y reduciendo dramáticamente el tiempo de análisis de los equipos de seguridad.
Datos simulados
Ox4Shell permite a los defensores trabajar con las funciones de búsqueda que los atacantes tratan de abusar a través de Log4Shell para identificar las máquinas objetivo al proporcionarles datos simulados que pueden controlar.
Se utiliza un archivo ‘mock.json’ para insertar valores comunes en las funciones de búsqueda. Por ejemplo, si la carga útil contiene el valor ${env:HOME}, podemos reemplazarla con un valor simulado personalizado.
Esta «simulación de búsqueda» significa que los usuarios pueden reemplazar ciertas búsquedas de datos con datos simulados, por lo que el resultado final se vería más realista y adecuado para la organización específica que lo usa.
Un informe reciente del gobierno de Estados Unidos advirtió que las instancias vulnerables de Log4j podrían persistir durante una década o más. Con Ox4Shell configurado para seguir siendo útil durante algún tiempo, se planea expandir las capacidades de la herramienta para simular aún más abusos de funciones de búsqueda basadas en los comentarios y aportaciones de la comunidad.
La entrada La herramienta «Ox4Shell» reduce dramáticamente el tiempo de análisis en Log4shell se publicó primero en Una al Día.
