CISA、FBI和NSA发布了针对Log4j漏洞的联合咨询和扫描程序

星期三，来自澳大利亚、加拿大、新西兰、英国和美国的网络安全机构发布了一个联合咨询，以回应在Apache的Log4J软件库中被恶意对手广泛使用的多个漏洞。

“这些漏洞，尤其是Log4Shell，非常严重，”情报机构在新的指南中说。“复杂的网络威胁参与者正在积极扫描网络，以在易受攻击的系统中利用Log4Shell、CVE-2021-45046和CVE-2021-45105进行潜在攻击。这些漏洞可能会在较长时间内被利用。”

攻击者可以通过向易受攻击的系统提交精心编制的请求，从而利用Log4Shell（CVE-2021-44228）进行攻击，该系统会导致该系统执行任意代码。另一方面，CVE-2021-45046允许在某些非默认配置下远程执行代码，而CVE-2021-45105可能会被远程攻击者利用，造成拒绝服务（DoS）情况。

由于漏洞成为公众的知识本月，未修补服务器已经受到来自勒索软件集团的攻击，这些国家的黑客已经使用攻击向量作为管道来访问网络，部署钴罢工信标、密码机和僵尸网络恶意软件。

美国联邦调查局（FBI）对这些攻击的评估也提出了一种可能性，即威胁行为者正在将这些缺陷纳入“正在寻求采用越来越复杂的模糊技术的现有网络犯罪计划”鉴于漏洞的严重性和可能增加的利用率，敦促各组织尽快识别、缓解和更新受影响的资产。

为此，美国网络安全和基础设施安全局（CISA）还发布了一个扫描工具，用于识别易受Log4Shell漏洞攻击的系统，与CERT协调中心（CERT/CC）发布的类似工具类似。

然而，以色列网络安全公司Rezilion在本周发布的一项评估中发现，商业扫描工具无法在环境中检测Log4j库的所有格式，因为这些实例往往深深嵌入到其他代码中，揭示了这些实用程序中的“盲点”以及静态扫描的局限性。

Rezilion漏洞研究负责人约塔姆·珀卡尔（Yotam Perkal）说：“最大的挑战在于在生产环境中检测打包软件中的Log4Shell：Java文件（如Log4j）可以嵌套在其他文件的几层深处—；这意味着对该文件的浅层搜索将无法找到它。”。“此外，它们可能被打包成许多不同的格式，这给在其他Java包中挖掘它们带来了真正的挑战。”

Log4Shell的公开披露还导致许多技术供应商为包含该漏洞的软件部署补丁。最新发布更新的公司是NVIDIA和HPE，它们加入了一长串发布了详细说明受该漏洞影响的产品的安全建议的供应商名单。

当Apache软件基金会（ASF）星期一发布Apache HTTP服务器的更新以解决两个缺陷时，政府采取了最新的步骤；CVE-2021-44790（CVSS分数：9.8）和CVE-2021-44224（CVSS分数：8.2）和#8212；前者可以被远程攻击者武器化，以执行任意代码并控制受影响的系统。