在Log4shell漏洞曝出以后,美国网络安全与基础设施建设局(CISA)一直在密切关注局势发展趋势。除开督促联邦政府机构在圣诞假期以前进行修复,国防部长属下的该机构还进行了#HackDHS漏洞悬赏金方案。最新动态是,CISA 又发布了一款名字叫做log4j-scanner的漏洞扫描器,以协助各机构筛选易受攻击的web服务。
据了解,做为CISA迅速行为工作组与开源项目精英团队的一个衍化新项目,log4j-scanner可以对易受2个Apache远程控制执行命令漏洞危害的Web服务开展鉴别(分别是CVE-2021-44228和CVE-2021-45046)。
这套扫描解决方法创建在相近的专用工具以上,包含由网络安全企业FullHunt开发设计的对于CVE-2021-44228漏洞的全自动扫描架构。有须要的安全性精英团队,可依靠该软件对互联网服务器开展扫描,以搜索Log4j RCE曝露和让Web应用软件绕开服务器防火墙(WAF)的潜在的危害。
现阶段该工程在Github早已取得了814星标。