補丁摞補丁?Log4Shell漏洞補丁爆出漏洞
讓全球企業安全人員陷入集體恐慌的Apache Log4j日誌庫高危漏洞(Log4Shell)又傳出了恐怖的訊息:
Apache為Log4Shell提供的快速補丁也有漏洞,可導致DoS攻擊。
上週四,安全研究人員開始警告稱,Apache Log4j中一個被跟蹤為CVE-2021-44228的遠端程式碼執行漏洞(Log4Shell)正在受到主動攻擊,據許多報道稱,它有可能破壞全球網際網路。
隨著上週五漏洞PoC的釋出,全球攻擊者蜂擁而至對Log4Shell發起猛攻,最初是透過操縱日誌訊息(包括鍵入聊天訊息的文字)在執行Java版Minecraft的伺服器或客戶端上釋放惡意程式碼。然後攻擊者開始升級攻擊手段,在一天之內產生了60個以上的原始漏洞利用的變種,已繞過現有緩解措施。
值得稱讚的是,Apache上週五火速釋出了一個補丁來修復Log4j2。15。0版本的Log4Shell漏洞。但不幸的是,現在研究人員發現,根據
http://
Apache。org
的安全公告,此修復“在某些非預設配置中是不完整的”,並
為某些情況下的拒絕服務(DoS)攻擊鋪平了道路。
補丁引入的新漏洞編號為CVE-2021-45046,可能允許攻擊者控制執行緒上下文對映(MDC)輸入資料,在某些情況下使用Java命名和目錄介面(JNDI)查詢模式製作惡意輸入資料,從而導致DoS攻擊。
漏洞利用的前提是日誌配置使用帶有上下文查詢(例如,$${ctx:loginId})或執行緒上下文對映模式(%X、%mdc或%MDC)的非預設Pattern Layout。
“預設情況下,Log4j 2。15。0將JNDI LDAP查詢限制為本地主機,”據
http://
Apache。org
稱:“請注意,以前涉及配置的緩解措施,例如
將系統屬性'log4j2.noFormatMsgLookup'設定為'true',並不能緩解此特定漏洞
。”
補丁的補丁
根據該公告,新發布的Log4j版本2。16。0透過刪除對訊息查詢模式的支援和預設禁用JNDI功能來解決該問題。
http://
Apache。org
建議,為了緩解之前Log4j版本中的錯誤,開發人員可以從類路徑中刪除JndiLookup類。
一位安全專家指出,Apache匆忙釋出了針對Log4Shell的補丁,結果引入了新的漏洞。
Netenrich的首席威脅獵手John Bambenek週二表示:“通常急於修補漏洞意味著修復可能不完整,就像目前情況一樣。”他說問題的解決方案應該是“完全禁用JNDI功能”。
由於已知至少有十幾個駭客團體正在利用這些漏洞,因此他敦促立即採取行動來修補、
從Log4j中刪除JNDI或將其從類路徑中刪除
——“最好是以上所有,”Bambenek說。
掌握局面
另一位安全專家指出,研究人員和安全專家仍在思考Log4Shell廣泛而深遠的影響,以及發現更多相關的漏洞利用潛力。
“當Log4Shell這樣的重磅漏洞曝光時,通常意味著在同一個軟體還會存在其他漏洞(需要補丁),這將觸發更多的漏洞研究和發現,”Bugcrowd創始人兼首席技術官Casey Ellis指出。
事實上,RiskBased Security的研究人員在週二發表的一篇部落格文章中寫道,鋪天蓋地的漏洞報道,已經使得人們對
當前到底存在多少與Log4Shell相關的漏洞,以及它們如何相互關聯,感到困擾
此時,目前已經發布了三個與Log4Shell相關的CVE:
CVE-2021-44228,即最初的零日漏洞;
CVE-2021-45046,“不完善的修復”;
CVE-2021-4104,Log4j另外一個元件中發現的漏洞(JMSAppender),目前看不嚴重。
對於CVE-2021-44228,研究人員認為這根本不是一個新問題,“實際上是相同的漏洞”。
研究人員寫道:“MITRE和CVE編號機構(CNA)將在修復不完善的補丁時分配第二個CVE ID。”“這有助於一些組織跟蹤問題,同時也給其他組織帶來了困擾。”
根據RiskBased Security的說法,儘管存在多個CVE,“一些地方一直將它們視為同一個問題,但事實並非如此”。
在變得更好之前會一直更糟
根據RiskBased Security的說法,Log4Shell漏洞修復的戲劇性事件表明,由於該漏洞的攻擊面如此巨大,因此存在被廣泛和進一步利用的巨大潛力。
“重要的是要指出Log4j是Java中一種流行的日誌框架,”研究人員在帖子中寫道。“這意味著它應用範圍極廣。”
事實上,一長串IT供應商的產品容易受到Log4Shell的攻擊,包括但不限於:Broadcom、Cisco、Elasticsearch、F-secure、Fedora、HP、IBM、Microsoft、美國國家安全域性(NSA)、RedHat、SonicWall和VMWare。
在公開披露該漏洞的幾個小時內,攻擊者就開始掃描易受攻擊的伺服器並發動攻擊以投放挖礦軟體、Cobalt Strike惡意軟體、新的Khonsari勒索軟體、Orcus遠端訪問木馬(RAT)、Mirai等殭屍網路、為未來攻擊準備的逆向bash shell以及後門程式。
無論未來會發生什麼,隨著原始漏洞利用的變體繼續產生並且攻擊者繼續蜂擁而至,情況在好轉之前可能會變得更糟。這意味著很長一段時間內圍繞Log4Shell的利用與修復將不會消停。
“這個新的Log4j漏洞可能會在未來幾年困擾我們,”RiskBased Security表示。
Apache安全諮文:
https://
lists。apache。org/thread
/83y7dx5xvn3h5290q1twn16tltolv88f
【GoUpSec】簡介:昇華安全佳,安全看世界。GoUpSec以國際化視野服務於網路安全決策者人群,致力於成為國際一流的調研、分析、媒體、智庫機構。
下一篇:什麼時候會讓你感到很孤獨無助?