補丁摞補丁？Log4Shell漏洞補丁爆出漏洞

讓全球企業安全人員陷入集體恐慌的Apache Log4j日誌庫高危漏洞（Log4Shell）又傳出了恐怖的訊息：

Apache為Log4Shell提供的快速補丁也有漏洞，可導致DoS攻擊。

上週四，安全研究人員開始警告稱，Apache Log4j中一個被跟蹤為CVE-2021-44228的遠端程式碼執行漏洞（Log4Shell）正在受到主動攻擊，據許多報道稱，它有可能破壞全球網際網路。

隨著上週五漏洞PoC的釋出，全球攻擊者蜂擁而至對Log4Shell發起猛攻，最初是透過操縱日誌訊息（包括鍵入聊天訊息的文字）在執行Java版Minecraft的伺服器或客戶端上釋放惡意程式碼。然後攻擊者開始升級攻擊手段，在一天之內產生了60個以上的原始漏洞利用的變種，已繞過現有緩解措施。

值得稱讚的是，Apache上週五火速釋出了一個補丁來修復Log4j2。15。0版本的Log4Shell漏洞。但不幸的是，現在研究人員發現，根據

http：//

Apache。org

的安全公告，此修復“在某些非預設配置中是不完整的”，並

為某些情況下的拒絕服務(DoS)攻擊鋪平了道路。

補丁引入的新漏洞編號為CVE-2021-45046，可能允許攻擊者控制執行緒上下文對映（MDC）輸入資料，在某些情況下使用Java命名和目錄介面（JNDI）查詢模式製作惡意輸入資料，從而導致DoS攻擊。

漏洞利用的前提是日誌配置使用帶有上下文查詢（例如，$${ctx：loginId}）或執行緒上下文對映模式（%X、%mdc或%MDC）的非預設Pattern Layout。

“預設情況下，Log4j 2。15。0將JNDI LDAP查詢限制為本地主機，”據

http：//

Apache。org

稱：“請注意，以前涉及配置的緩解措施，例如

將系統屬性'log4j2.noFormatMsgLookup'設定為'true'，並不能緩解此特定漏洞

。”

補丁的補丁

根據該公告，新發布的Log4j版本2。16。0透過刪除對訊息查詢模式的支援和預設禁用JNDI功能來解決該問題。

http：//

Apache。org

建議，為了緩解之前Log4j版本中的錯誤，開發人員可以從類路徑中刪除JndiLookup類。

一位安全專家指出，Apache匆忙釋出了針對Log4Shell的補丁，結果引入了新的漏洞。

Netenrich的首席威脅獵手John Bambenek週二表示：“通常急於修補漏洞意味著修復可能不完整，就像目前情況一樣。”他說問題的解決方案應該是“完全禁用JNDI功能”。

由於已知至少有十幾個駭客團體正在利用這些漏洞，因此他敦促立即採取行動來修補、

從Log4j中刪除JNDI或將其從類路徑中刪除

——“最好是以上所有，”Bambenek說。

掌握局面

另一位安全專家指出，研究人員和安全專家仍在思考Log4Shell廣泛而深遠的影響，以及發現更多相關的漏洞利用潛力。

“當Log4Shell這樣的重磅漏洞曝光時，通常意味著在同一個軟體還會存在其他漏洞（需要補丁），這將觸發更多的漏洞研究和發現，”Bugcrowd創始人兼首席技術官Casey Ellis指出。

事實上，RiskBased Security的研究人員在週二發表的一篇部落格文章中寫道，鋪天蓋地的漏洞報道，已經使得人們對

當前到底存在多少與Log4Shell相關的漏洞，以及它們如何相互關聯，感到困擾

此時，目前已經發布了三個與Log4Shell相關的CVE：

CVE-2021-44228，即最初的零日漏洞；

CVE-2021-45046，“不完善的修復”；

CVE-2021-4104，Log4j另外一個元件中發現的漏洞（JMSAppender），目前看不嚴重。

對於CVE-2021-44228，研究人員認為這根本不是一個新問題，“實際上是相同的漏洞”。

研究人員寫道：“MITRE和CVE編號機構（CNA）將在修復不完善的補丁時分配第二個CVE ID。”“這有助於一些組織跟蹤問題，同時也給其他組織帶來了困擾。”

根據RiskBased Security的說法，儘管存在多個CVE，“一些地方一直將它們視為同一個問題，但事實並非如此”。

在變得更好之前會一直更糟

根據RiskBased Security的說法，Log4Shell漏洞修復的戲劇性事件表明，由於該漏洞的攻擊面如此巨大，因此存在被廣泛和進一步利用的巨大潛力。

“重要的是要指出Log4j是Java中一種流行的日誌框架，”研究人員在帖子中寫道。“這意味著它應用範圍極廣。”

事實上，一長串IT供應商的產品容易受到Log4Shell的攻擊，包括但不限於：Broadcom、Cisco、Elasticsearch、F-secure、Fedora、HP、IBM、Microsoft、美國國家安全域性（NSA）、RedHat、SonicWall和VMWare。

在公開披露該漏洞的幾個小時內，攻擊者就開始掃描易受攻擊的伺服器並發動攻擊以投放挖礦軟體、Cobalt Strike惡意軟體、新的Khonsari勒索軟體、Orcus遠端訪問木馬（RAT）、Mirai等殭屍網路、為未來攻擊準備的逆向bash shell以及後門程式。

無論未來會發生什麼，隨著原始漏洞利用的變體繼續產生並且攻擊者繼續蜂擁而至，情況在好轉之前可能會變得更糟。這意味著很長一段時間內圍繞Log4Shell的利用與修復將不會消停。

“這個新的Log4j漏洞可能會在未來幾年困擾我們，”RiskBased Security表示。

Apache安全諮文：

https：//

lists。apache。org/thread

/83y7dx5xvn3h5290q1twn16tltolv88f

【GoUpSec】簡介：昇華安全佳，安全看世界。GoUpSec以國際化視野服務於網路安全決策者人群，致力於成為國際一流的調研、分析、媒體、智庫機構。