周五,Apache官方发布了一个2.17版补丁,也是对于log4j日志库的一个漏洞开展修复,而此次是对于一个有关DoS的漏洞。
这也是log4j的第三个补丁包。这一全新的漏洞并并不是Log4Shell远程控制执行命令(RCE)漏洞的变种,该漏洞自12月10日发生至今就一直困惑着IT精英团队,在其公布披露后的几小时后就在全世界范畴内得到了大批量的进攻,激发了大量极端的变种,并造成Apache在最开始公布的补丁包中发生拒绝服务攻击(DoS)。
但是,他们的确有共同之处。这一新的漏洞危害到了与Log4Shell漏洞同样的部件。Log4Shell被跟踪为CVE-2021-44228(严重后果评分为CVSS 10.0),而新的漏洞被跟踪为CVE-2021-45105(CVSS得分:7.5),全是攻击者乱用日志数据信息查找开展进攻。
不一样的是,CVE-2021-45105这一漏洞中的查找是Context Map查找,而不是对LDAP网络服务器的Java取名和文件目录插口(JNDI)查找,这促使攻击者可以实行Log4Shell漏洞中返还的所有编码。
ContextMapLookup容许应用软件在Log4j ThreadContext Map中储存数据信息,随后在Log4j配备中查找这种值。例如,一个程序可以在ThreadContext Map中以"loginId "为键储存现阶段客户的登陆ID。
这一漏洞与不适当的键入认证和不会受到操控的递归法相关,这也许会造成DoS进攻。
正如趋势科技科学研究工作组所表述的,Apache Log4j API适用自变量更换。殊不知,因为它的不会受到操控的递归法更换,一个精心策划的故意自变量就有可能会造成应用软件奔溃。对查找指令有决策权的攻击者(如根据进程前后文投射)可以制造一个故意的查找自变量,进而造成拒绝服务攻击(DoS)进攻。
这一新的漏洞危害了从2.0-beta9到2.16的全部新版本的专用工具。Apache上星期公布了2.16版本号,来修复在其中的第二个漏洞。第二个漏洞则是RCE漏洞CVE-2021-45046,这也是因为Apache对CVE-2021-44228(又被称为Log4Shell漏洞)的修补不完善导致的。
科学研究工作人员再次讲到,当一个嵌入自变量被StrSubstitutor类取代时,它会递归法地启用substitutor()类。殊不知,当嵌入自变量引入被更换的自变量时,递归函数的是同一个字符串数组。这致使了无穷的递归法和云服务器上的DoS进攻。举例来说,假如Pattern Layout包括${ctx.apiversion}的Context Lookup,其分派数值${ctx.apiversion}},则该自变量将被递归法地更换为本身。
他说道,该漏洞已在Log4j 2.16及下列版本号上检测并确定。
Apache如今早已宣布了解决方法,但ZDI提议更新到最新版,保证该漏洞获得了完全修补。
伴随着漏洞的层出不穷,新的漏洞的很多运用,及其相匹配补丁包的发生,SAP等大佬技术性企业一直在不断的修补日志库,并发布产品补丁包。
CISA要求要马上修复漏洞
周四,英国网络信息安全和基础设施建设安全局(CISA)公布应急命令,规定联邦政府民事法律单位和机构在12月23日星期四以前马上为其朝向互联网技术的系统软件修复Log4j漏洞。
该库的漏洞所提供的隐患是很大的,由于许多危害者早已逐渐对带有漏洞的操作系统实现了进攻。正如CPR上星期注重的那般,现阶段早已发觉的进攻就包含了一个在五个我国开展挖币的犯罪团伙。
上星期,微软公司汇报说,Phosphorus(沙特)及其别的来源于中国朝鲜和俄罗斯的不知名的APTs机构,已经很多运用Log4Shell开展有目的性的进攻。Phosphorus,别名Charming Kitten、APT35、Ajax Security Team、NewsBeef和Newscaster,因在2020年对全世界高峰会和大会开展进攻而别人所熟识。
CPR表明,截止到周三,Charming Kitten早已进攻了以色列国家七个总体目标。
Conti勒索病毒犯罪团伙是攻击者之一
Conti勒索病毒犯罪团伙也参加到了在其中。AdvIntel的分析工作人员上星期说,她们见到Conti已经对VMware vCenter开展进攻。
科学研究工作人员上星期说,现阶段该漏洞早已造成了好几个类似的实例,Conti集团公司根据这种案子检测了运用Log4j 2漏洞的概率。犯罪嫌疑人对于指定的带有漏洞的Log4j 2 VMware vCenter 服务器虚拟机进攻,立即在受到攻击的互联网内部结构开展横着挪动,进而造成英国和欧洲地区的互联网被很多进攻。
上星期,一些人猜疑可能是因为Conti犯罪团伙的勒索病毒进攻,驱使一家个体经济的连锁加盟饭店、酒店餐厅和酒厂麦克曼纽斯关掉了一些业务流程。
这种漏洞还被各种各样僵尸网络、远程连接木马病毒(RATs)、原始浏览艺人经纪人和一种名叫Khonsari的新勒索病毒所运用。截止到周一,CPR表明,它早已发觉超出430千次探究性学习运用进攻,在其中超出46%是由现阶段已发现的故意团队开展的。
无眠之夜
趋势科技的Lederfein强调,log4j部件早已运作了很长期,自打10天内Log4Shell漏洞被曝出至今,就己经取得了非常多的关心。他预估说,预计将来很有可能会出现大量一样的状况。
Shared Assessments的安全性专业人士表明很赞成。他强调,这一漏洞让许多安全性权威专家寝食难安。这一Javageddon乃至早已渗入了C-suite。
他根据电子邮箱说:"企业管理人员和董事也对这一漏洞怎样危害她们公司的安全防护有较大的兴趣爱好。全部互联网技术上面在应用Log4j,这也许会危害好几个应用软件和系统软件。"
安全性专家认为说:"你如今可以采用的较好方式是时时刻刻留意观查处理这一漏洞的补丁包升级,并立即将两者的系统开展修补。悲哀的是,伴随着她们发觉有越多的工程受此漏洞的危害,这好像可能不断的不良影响到机构未来发展"。
文中翻譯自:https://threatpost.com/third-log4j-bug-dos-apache-patch/177159/倘若转截,请标明全文详细地址。