当攻击者开始利用第二个Log4j 漏洞时，惊现第三个漏洞

专家警告说，威胁行为者正积极尝试利用流行的 Log4j 日志库中披露的第二个漏洞。

美国网络基础设施和网站安全公司Cloudflare警告说，威胁参与者正在积极尝试利用第二个漏洞进行攻击，该漏洞被追踪为CVE-2021-45046，已在Log4j日志库中被披露。

CVE-2021-45046 的 CVSS 得分为 3.7，并影响从 2.0-beta9 到 2.12.1 和 2.13.0 到 2.15.0（其已发布以修复 CVE-2021-44228）的 Log4j 版本。

Apache 软件基金会 (ASF) 已经针对Log4Shell漏洞 (CVE-2021-44228)发布了补丁，但此修复部分解决了某些非默认配置中的缺陷。当日志记录配置使用带有上下文查找（例如，$${ctx:loginId}）或线程上下文映射模式（%X、%MDC或%MDC）的非默认模式布局时，能够控制线程上下文映射（MDC）输入数据的攻击者可以使用触发拒绝服务（DOS）条件的JNDI查找模式手工生成恶意输入数据。

这两个问题都通过 Log4j 2.16.0 版本的发布进行了评估，该版本通过删除对消息查找模式的支持和默认禁用 JNDI 功能来解决 CVE-2021-45046。

“紧随 CVE-2021-44228 之后，第二个 Log4J CVE 已提交为 CVE-2021-45046。我们之前针对 CVE-2021-44228 发布的规则， 为这个新的 CVE 提供了相同级别的保护。” CloudFlare 表示，“此漏洞正在被积极利用，任何使用 Log4J 的人都应尽快更新到2.16.0版本 ，即使您之前已更新到 2.15.0。可以在Log4J 下载页面上找到最新版本 。”

坏消息还没有结束，因为安全公司 Praetorian 的研究人员警告说，为修复最初的 Log4Shell 而发布的 Log4j 2.15.0 版存在第三个安全漏洞。在某些情况下，攻击者可以利用第三个漏洞来窃取敏感数据。

“在我们的研究中，我们已经证明 2.15.0 在某些情况下仍然允许泄露敏感数据。我们已将此问题的技术细节传递给 Apache 基金会，但在此期间，我们强烈建议客户尽快升级到 2.16.0。” Praetorian称。

微软专家表示，多个访问代理已经开始使用 Log4Shell 漏洞来获得对目标网络的初始访问权限，然后将其出售给勒索软件即服务的附属公司。

为什么 Log4j 缓解充满挑战

Log4j 缺陷存在于一个并不总是易于检测的组件中，并且在机构自己的网络和系统之外广泛使用。

最常受攻击的设备类型列表 图片来源：Darkreading

致力于减轻机构暴露于Log4j漏洞的安全团队有很多挑战需要克服。它们包括确定暴露的全部范围，找出无法修补的系统的解决方法，以及确保第三方产品和服务得到保护。

安全专家本周表示，对于许多人来说，由于需要不断监控攻击者试图利用该漏洞的迹象或他们可能已经受到攻击的迹象，这项任务将变得更加复杂。

Log4j 是一种日志工具，几乎存在于所有 Java 应用程序中。从 2.0-beta9 到 2.14.1 的 Log4j 版本中存在一个严重的远程代码执行漏洞 ( CVE-2021-44228 )，使攻击者能够完全控制易受攻击的系统。Apache 基金会上周发布了该工具的更新版本 (Apache Log4j 2.15.0)，然后在周二发布了第二次更新，因为原始修复程序没有完全防止拒绝服务 (DoS) 攻击和数据盗窃。

该漏洞被广泛认为是近期记忆中最危险的漏洞之一，因为它很容易被利用并且几乎存在于每个 IT 环境中。例如，Veracode发现其 88% 的客户使用 Log4j 的某个版本，58% 的客户在其环境中存在易受攻击的版本。

自上周首次披露该漏洞以来，世界各地的攻击者一直试图利用该漏洞。许多供应商已经观察到有人试图分发硬币矿工、勒索软件、远程访问特洛伊木马、Web shell和僵尸网络恶意软件。Armis周三报告称，约有 35% 的客户受到该漏洞的主动攻击，31% 的客户在非托管设备上受到与 Log4j 相关的威胁。这家安全供应商表示，它已经观察到多达 30,000 次针对其客户的攻击企图。其他几家供应商也报告了类似的活动。

Armis发现，迄今为止，IT 环境中最具针对性的资产是服务器、虚拟机和移动设备。在 OT 网络中，49% 的受感染设备是虚拟机，43% 是服务器。OT 网络中的其他目标设备包括 IP 摄像机、人机界面 (HMI) 设备和 SCADA 系统。

确定问题的范围

据安全专家称，机构在防御针对 Log4j 的攻击时面临的一项主要挑战是确定它们是否完全暴露在威胁之下。该漏洞不仅存在于机构面向互联网的资产上，还存在于内部和后端系统、网络交换机、SIEM和其他日志记录系统、内部开发的应用程序和第三方应用程序、SaaS和云服务以及他们可能不知道的环境中。不同应用程序和组件之间的相互依赖性意味着，即使某个组件没有直接存在漏洞，它仍然可能受到该漏洞的影响。

Noname Security表示，Java 打包的工作方式通常会使识别受影响的应用程序变得困难。例如，Java 归档 (JAR) 文件可能包含特定组件的所有依赖项（包括 Log4j 库）。但该 JAR 文件可能包含另一个 JAR 文件，而该 JAR 文件又可能包含另一个 JAR 文件——本质上将漏洞埋藏在几层深处，安全供应商表示。

Netskope威胁研究工程师帕拉佐洛（Gustavo Palazolo）表示：“企业在缓解Log4j中发现的漏洞方面，面临的主要挑战之一是识别所有受损资产。”。他补充说，基于Log4j Apache Java的日志库非常流行，可以被许多应用程序使用，也可以被为向后兼容而维护的物联网设备和遗留系统使用。即使发现应用程序存在漏洞，更新它也可能很困难，因为组织可能无法承受停机时间或缺乏适当的补丁管理控制。“因此，在某些情况下，识别所有受损系统和修复问题之间的时间可能需要很长时间。”

API 和第三方风险

应用程序不是唯一的问题。Log4j 漏洞也会影响应用程序编程接口 (API) 环境。Noname 说，包含该漏洞的 API 服务器提供了一个有吸引力的攻击媒介，因为许多机构对其 API 清单和 API 行为的可见性有限。不使用 Log4j 日志框架的企业可能正在使用包含 Log4j 缺陷的受信任的第三方 API，从而使其面临风险。

Noname Security技术副总裁Aner Morag表示：“对于一个机构来说，要最大限度地降低通过API的[Log4j漏洞]被利用的风险，需要采取几个步骤。”。Morag说，这些包括将所有为API提供服务的服务器映射到任何Java服务，不允许任何用户输入到达任何API服务器上的日志消息，使用代理或其他机制来控制后端服务可以连接到哪些服务器，并将API置于API网关或负载平衡器之后。

机构面临的另一个挑战是确保他们使用的所有第三方产品和服务都得到适当的修补或对缺陷进行缓解。

“许多供应商产品受到影响，并且受影响供应商的名单每天都在增加，”Alert Logic 安全运营副总裁 Tom Gorup 说。“并非所有供应商都有可用的补丁。”他建议安全团队检查其供应商的网站或直接与他们联系，以了解他们的任何产品是否受到影响。供应商可能容易受到攻击，但已发布缓解措施来保护其客户。 “至少，您需要了解如何验证您的资产已收到更新，”他还建议安全团队检查过去几天可用的易受攻击产品的列表。

“对此漏洞的回应可能是，'我们不使用 Java，'”Gorup说。“在这种情况下，您的第三方软件可能已将其嵌入，这可能会导致您的漏洞扫描未显示威胁。”

（来源：Darkreading、securityaffairs等。作者分别为Jai Vijayan、Pierluigi Paganini。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）