在网络安全专家花了几天时间试图修补或缓解 CVE-2021-44228之后,周二发现了第二个涉及 Apache Log4j 的漏洞。

网络安全专家认为 CVE-2021-44228 的普遍性以及容易被利用,这个 Log4j 中的远程代码执行漏洞可能需要数月甚至数年时间才能得到妥善解决。McAfee Enterprise 和 FireEye 的高级威胁研究主管 Steve Povolny 表示,Log4Shell 的破坏力完全和 Shellshock、Heartbleed 和 EternalBlue 同一个级别。

对新漏洞CVE 2021-45046的描述 称,Apache Log4j 2.15.0中针对CVE-2021-44228的修复“在某些非默认配置中不完整”。

“这可能允许攻击者……使用 JNDI 查找模式制作恶意输入数据,从而导致拒绝服务 (DOS) 攻击,”CVE 描述说。 

CVE 2021-45046漏洞

  • 在某些少数调用条件下导致 DOS 攻击
  • 该漏洞对于开启 log4j2.noFormatMsgLookup 为 true 的情况下不能防御
  • 该漏洞影响 Log4j 2.15.0,在最新版本2.16.0修复(默认禁用JNDI功能)

Apache已经针对这个问题发布了一个补丁 Log4j 2.16.0。通过删除对消息查找模式的支持并默认禁用 JNDI 功能来解决该问题。通过从类路径中删除 JndiLookup 类,可以在以前的版本中缓解该问题。 默认允许协议限制为:java、ldap、ldaps,并将ldap协议限制为仅可访问Java原始对象,Message Lookups被完全移除,加固漏洞的防御。

Netenrich 的首席威胁猎手 John Bambenek 告诉 ZDNet,解决方案是完全禁用 JNDI 功能(这是最新版本的默认行为)。

“至少有十几个团体正在使用这些漏洞,因此应该立即采取行动来修补、删除 JNDI,或者将其从类路径中删除(最好是上述所有内容),”Bambenek 说。 

Log4j 是一个用于记录应用程序错误消息的 Java 库,它的原始缺陷自上周以来一直是头条新闻。据 Cloudflare 称,攻击始于 12 月 1 日,新西兰 CERT发出的初步 警报 引发了CISA和英国国家网络安全中心的其他警报。

荷兰国家网络安全中心发布了一份很长的受该漏洞影响的软件列表。

国际安全公司 ESET 发布了一张地图,显示了进行 Log4j 漏洞利用尝试的地点,其中美国、英国、土耳其、德国和荷兰的数量最多。

ESET

ESET 首席研究官罗曼·科瓦奇 (Roman Kováč) 说:“我们的检测量证实,这是一个不会很快消失的大规模问题。”

许多公司已经在经历利用该漏洞的攻击;安全平台 Armis 表示,它在超过三分之一(35%)的客户端中检测到 log4shell 攻击尝试。攻击者的目标是物理服务器、虚拟服务器、IP 摄像头、制造设备和考勤系统。

发表评论