最初的“不完整”补丁创建了拒绝服务攻击的路径
敦促流行的Java记录库Apache Log4j的用户在绕过初始修复后应用于与关键“ Log4shell”漏洞相关的第二个补丁。
CVSS 10级漏洞在主动敌对剥削的证据中继续主导Infosec头条新闻。
在重磅炸弹错误之后,无数下游应用程序的维护人员和供应商一直在急于更新自己的软件,这使攻击者能够实现远程代码执行(RCE)目标系统。
跟上来“ log4shell”缺陷对应用使用“无处不在” Java记录程序包log4j构成了关键威胁
DOS威胁
Apache Logging Services项目在第一个更新(第2.15.0版)之后,周一(12月13日)发布了Apache Log4J 2.16.0根据Apache Software Foundation(ASF)的说法, - 服务(DOS)攻击”博客文章昨天(12月14日)出版。
ASF表示,仍在Java 7上的用户应升级到Log4J 2.12.2版本。
第一个缺陷(CVE-2021-44228)影响到log4j2版本到和包括2.14.1,允许“可以控制日志消息或日志消息参数的攻击者可以在启用消息查找替换时从LDAP服务器执行任意代码”。
项目维护者赶出了第一个修复程序,该修复程序在Twitter和Github上的概念证明(POC)席卷后,默认情况下将JNDI LDAP查找到Localhost。
但是,此补丁然后产生了一个新的缺陷(CVE-2021-45046),如果在某些情况下滥用,可以通过使用JNDI查找模式来制定恶意输入数据来实现DOS攻击。
以前与配置相关的缓解不会减轻最新脆弱性,ASF强调。
Apache还建议,虽然Log4J 1.X系列不受CVE的影响,但第一个发行线运行版本的用户仍应更新到最新版本,因为第一个版本已达到生命的终结,并且不再接收安全补丁。
野外剥削
详细技术文章,网络安全公司趋势Micro表示,它“观察到威胁行为者将Mirai变种和亲属硬币剂放到脆弱的服务器上”。
它补充说:“尽管某些网络流量很简单,但其他威胁参与者正在使用表达式中的混淆来隐藏其流量。”
推荐的Grafana敦促Web开发beplay体育能用吗人员更新以下路径遍历错误披露
Trend Micro还指出:“据报道,勒索软件运营商还利用Log4shell,尤其是Khonsari背后的Log4shell勒索软件家庭”,“ Mirai可能会将受影响的系统用作其僵尸网络的一部分,例如分布式拒绝服务(DDOS)或垃圾邮件垃圾邮件的活动”。
它补充说:“尽管野外的攻击主要是通过HTTP传递的,但可以通过使用Log4J记录的任何协议来利用该漏洞。”
下游争夺
Log4J已通过镜像系统广泛分发,最近通过内容交付网络(CDN)分发,而许多组织已将图书馆作为其项目,产品或服务的一部分运送。
Trend Micro已将潜在脆弱的产品,应用程序和插件分类,并从供应商那里采取或待处理以解决和/或减轻脆弱性。其中包括来自Redhat,VMware和Atlassian的软件包或应用程序。
Apache安全团队已编译列表指示是否已知各种Apache项目受到影响,如果可用的话,可以通过链接到更新。
没有其他Apache Loggging Services子项目(例如Log4net或Log4CXX)受到影响。
风险因素
“Unless you have been hiding under a rock with your eyes closed and your fingers in your ears, you have heard of a zero-day exploit in the Java logging library known as Apache Log4j,” said Dustin Childs, communications manager for Trend Micro’s Zero Day Initiative (ZDI).
他补充说:“如果您运行基于开源软件的服务器,那么您很有可能会受到此漏洞的影响。”“请与您的所有供应商联系企业看看它们是否受到影响以及有哪些补丁可用。”
布莱恩·福克斯(Brian Fox)DevSecops专业的Sonatype将缺陷与臭名昭著的支柱脆弱性进行了比较,该漏洞使Equifax在2017年损害了毁灭性效果。
他说:“这里的范围和潜在影响的结合与我很容易回忆起的任何以前的组件漏洞都不一样。”告诉每日swbeplay2018官网ig上周。
许多工具已经为企业用户开发了以扫描受影响的系统。
