Apache Log4j2 exploitation in aeronautical, maritime, and aerospace communication
Tekijät
Päivämäärä
2022Tekijänoikeudet
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
Tässä kyberturvallisuuden pro gradu -tutkielmassa esitellään koeasetelma langattomien ACARS, ADS-B ja AIS -tietoliikenneprotokollien tutkimiseen käyttäen ohjelmistoradioita ja avoimen lähdekoodin ohjelmistoja. Protokollia käytetään hyökkäysreittinä Apache Log4j2 Java-ohjelmakirjaston haavoittuvuuksien hyväksikäytölle. Kirjallisuuskatsauksessa käsitellään tutkielman taustat sekä aiemmat tutkimustulokset. Artikkeliosuudessa kuvaillaan menetelmiä kriittisen CVE-2021-44228 "log4shell" haavoittuvuuden sekä muiden siihen liittyvien haavoittuvuuksien tutkimiseen hyödyntäen tietoisesti haavoittuvaksi tehtyä ohjelmistoa. Valittujen protokollien kyvykkyyttä CVE-2021-44228-haavoittuvuuden vaatimien merkkijonojen siirtämiseen tutkitaan niiden määrittelydokumentteihin perustuen. Skenaarioita, joissa turvallisuuden kannalta kriittiset tietoliikennejärjestelmät voisivat olla haavoittuvia, osoitetaan kokeellisesti mahdolliseksi. Tutkielman keskeinen löydös on, että kaikki tutkitut protokollat mahdollistavat log4shell-kyberhyökkäysten toteuttamisen langattomasti, kun tunnetut ennakkoehdot täyttyvät. Lisäksi tutkielman artikkeliosuudessa tuodaan ilmi merkittäviä uusia löydöksiä Log4j2-ohjelmakirjaston haavoittuvuudesta, joka mahdollistaa vakavien palvelunestohyökkäysten toteuttamisen.
...
In this master’s thesis on cyber security accessible methodology for over-the-air experiments using ACARS, ADS-B, and AIS telecommunication protocols is proposed, using software-defined radios, and utilising open-source and freeware software. The protocols are used as attack vectors for exploitation of Apache Log4j2 Java-library’s vulnerabilities. Methods for studying CVE-2021-44228 "log4shell" remote code execution and related vulnerabilities using intentionally vulnerable software are presented. The telecommunication protocols’ capabilities in transmitting CVE-2021-44228 and related cyberattack strings are evaluated by studying protocol specifications to identify probable attack vectors. Practical scenarios, in which mission critical and safety-of-life information systems could be exploitable, are experimentally demonstrated. All three studied protocols are found to be susceptible for wireless log4shell-cyberattacks, when identified preconditions are met. Moreover, novel findings concerning a high-severity Log4j2 denial of service vulnerability are presented.
...
Asiasanat
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29561]
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
On Apache Log4j2 Exploitation in Aeronautical, Maritime, and Aerospace Communication
Juvonen, Artturi; Costin, Andrei; Turtiainen, Hannu; Hämäläinen, Timo (Institute of Electrical and Electronics Engineers (IEEE), 2022)Apache Log4j2 is a prevalent logging library for Java-based applications. In December 2021, several critical and high-impact software vulnerabilities, including CVE-2021-44228, were publicly disclosed, enabling remote code ... -
Security aspects of service chaining in software-defined networking environments
Räty, Atte (2018)Ohjelmistojohtoinen tietoverkkojen hallinta on uusi lähestymistapa tietoverkkojen hallintaan ja se tuo mukanaan uusia mahdollisuuksia. Eräitä näistä mahdollisuuksista ovat monipuolisemmat ja dynaamisemmat mahdollisuudet ... -
GDL90fuzz : Fuzzing “GDL-90 Data Interface Specification” Within Aviation Software and Avionics Devices : A Cybersecurity Pentesting Perspective
Turtiainen, Hannu; Costin, Andrei; Khandker, Syed; Hämäläinen, Timo (Institute of Electrical and Electronics Engineers (IEEE), 2022)As the core part of next-generation air transportation systems, the Automatic Dependent Surveillance-Broadcast (ADS-B) is becoming very popular. However, many (if not most) ADS-B devices and implementations support and ... -
Probabilistic Transition-Based Approach for Detecting Application-Layer DDoS Attacks in Encrypted Software-Defined Networks
Ivannikova, Elena; Zolotukhin, Mikhail; Hämäläinen, Timo (Springer, 2017)With the emergence of cloud computing, many attacks, including Distributed Denial-of-Service (DDoS) attacks, have changed their direction towards cloud environment. In particular, DDoS attacks have changed in scale, methods, ... -
Virtual resource-sharing mechanisms in software-defined and virtualized wireless network
Zhang, Di (University of Jyväskylä, 2018)
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.