第三个漏洞被命名为CVE-2021-45105

一、第三个漏洞被命名为CVE-2021-45105

图片来源于外媒

外媒18日报道称，Log4J 库中的多个漏洞正在令全世界的机构担忧，而威胁行为者已经在利用它们。Apache 发布了第三个补丁2.17以解决新的 Log4j 缺陷。

专家警告说，威胁行为者正在积极尝试利用第二个漏洞 CVE-2021-45046，而在 Log4j 库中披露的第三个安全漏洞，被命名为CVE-2021-45105。

第一个漏洞CVE-2021-44228 （又名 Log4Shell），是影响基于 Java的 Apache Log4j日志库的严重远程代码执行零日漏洞。该影响是毁灭性的，全球数以千计的组织可能会受到攻击。Apache 软件基金会 (ASF) 迅速发布了针对CVE-2021-44228的补丁程序（Log4J 2.15.0 版本 ），但此修复部分解决了某些非默认配置中的缺陷。当日志记录配置使用带有上下文查找（例如，$${ctx:loginId}）或线程上下文映射模式（%X、%MDC或%MDC）的非默认模式布局时，能够控制线程上下文映射（MDC）输入数据的攻击者可以使用触发拒绝服务（DOS）条件的JNDI查找模式手工生成恶意输入数据。

Log4j 2.16.0 版本的发布解决了这两个问题，该版本通过删除对消息查找模式的支持和默认禁用 JNDI 功能来修复 第二个漏洞CVE-2021-45046。CVE-2021-45046 最初被评为低严重性 (3.7)，但近日，Apache 软件基金会将其严重性级别提高到严重性 (9.0)。

但安全公司Praetorian的研究人员警告说，为修复最初的 Log4Shell 而发布的 Log4j 2.15.0 版存在第三个安全漏洞。在某些情况下，攻击者可以利用第三个漏洞来窃取敏感数据。（详情戳这里—17日我司文章《当攻击者开始利用第二个Log4j漏洞时，惊现第三个漏洞》）。于是，Apache 软件基金会 (ASF) 被迫在一周内发布第三个版本（版本 2.17.0），以修复 log4j 2.16 中被跟踪为 CVE-2021-45105 的“高”严重性拒绝服务 (DoS) 漏洞。

CVE-2021-45105 漏洞的 CVSS 得分为 7.5，这是一个影响 log4j 2.16 的 DoS 漏洞。专家指出，即使 JNDI 查找在 2.16 版本中被禁用，自引用查找在某些情况下仍然是可能的。

“Apache Log4j2版本2.0-α1至2.16.0没有从自我指涉查找失控的递归保护，”ASF发布的建议如是说。“当日志记录配置使用带有上下文查找的非默认模式布局（例如，$${ctx:loginId}）时，具有线程上下文映射（MDC）输入数据控制权的攻击者可以手工创建包含递归查找的恶意输入数据，从而导致StackOverflower错误，从而终止进程。”

“Apache Log4j2版本2.0-alpha1至2.16.0（不包括2.12.3）无法防止不受控制的自引用查找递归。这使得攻击者能够控制线程上下文映射数据，在解释特制字符串时造成拒绝服务。此问题在Log4j 2.17.0和2.12.3中得到修复。”Apache 软件基金会 (ASF)通过发布 log4j 版本 2.17.0（适用于 Java 8）修复了CVE-2021-45105缺陷。

二、美国CISA近期针对 Log4j 动作频频

（一）CISA 发布关于 Log4j 的紧急指令

图片来源于外媒

18日，美国国土安全部的网络安全基础设施和安全局（CISA），命令民用联邦机构立即采取措施，识别、修补和缓解其网络中的Log4j漏洞。

“CISA 已确定此漏洞对联邦文职行政部门机构构成了不可接受的风险，需要采取紧急行动。这一决定是基于当前威胁行为者在野外对该漏洞的利用、进一步利用该漏洞的可能性、联邦企业中受影响软件的普遍性，以及机构信息系统受到破坏的可能性很大，”紧急指令指出。

图片来源于外媒

指令称，联邦机构——不包括国防部或情报机构——必须在 12 月 23 日下午 5 点之前对所有易受 Log4j 攻击的面向互联网的系统进行识别、修补或应用缓解措施，或者在必要时完全删除受影响的软件。CISA 表示“假设受到影响”的系统受到影响，机构必须监控和调查这些系统是否有攻击迹象。机构必须在 12 月 28 日下午 5 点之前向 CISA 报告所有受影响的申请和采取的行动。

（二）CISA 敦促 VMware 管理员修补 Workspace ONE UEM 中的关键缺陷



17日，CISA 要求 VMware 管理员和用户修补在 Workspace ONE UEM 控制台中发现的一个关键安全漏洞，威胁参与者可能会滥用该漏洞来访问敏感信息。

Workspace ONE 统一端点管理 (ONE UEM) 是一种 VMware 解决方案，用于对台式机、移动设备、坚固型设备、可穿戴设备和 IoT 设备进行无线远程管理。

被追踪为CVE-2021-22054的缺陷 是一个服务器端请求伪造 (SSRF) 漏洞，严重性等级为 9.1/10，影响多个 ONE UEM 控制台版本。

未经身份验证的威胁行为者可以在低复杂度的攻击中远程利用此漏洞，而无需用户交互。

“具有 UEM 网络访问权限的恶意行为者可以在未经身份验证的情况下发送他们的请求，并可能利用这个问题来访问敏感信息，”VMware 在周四发布的安全公告中解释道 。

受影响的版本固定版

2109Workspace ONE UEM 补丁 21.9.0.13 及以上

2105Workspace ONE UEM 补丁 21.5.0.37及以上

2102Workspace ONE UEM 补丁 21.2.0.27及以上

2101Workspace ONE UEM 补丁 21.1.0.27 及以上

2011年Workspace ONE UEM 补丁 20.11.0.40及以上

2010年Workspace ONE UEM 补丁 20.10.0.23 及以上

2008年Workspace ONE UEM 补丁 20.8.0.36及以上

2007年Workspace ONE UEM 补丁 20.7.0.17 及以上

（3） CISA的Log4j 漏洞指南

CISA在12月18日刚更新的Log4j 漏洞指南中称，CISA 及其合作伙伴通过联合网络防御协作组织，对Apache 的 Log4j 软件库（版本 2.0-beta9 至 2.14.1）中的一个关键远程代码执行 (RCE) 漏洞 ( CVE-2021-44228 ) 的积极、广泛利用做出响应，称为“Log4Shell”。Log4j 广泛用于各种消费者和企业服务、网站和应用程序以及运营技术产品，以记录安全和性能信息。未经身份验证的远程参与者可以利用此漏洞来控制受影响的系统。

2021 年 12 月 10 日，Apache 为 Java 8 用户发布了 Log4j 2.15.0，以解决远程代码执行 (RCE) 漏洞 — CVE-2021-44228。 2021 年 12 月 13日， Apache 发布了面向 Java 7 用户的 Log4j 2.12.2 和面向 Java 8 用户的 Log4j 2.16.0，以解决 RCE 漏洞 CVE-2021-45046。2021年 12 月 17 日，Apache 为 Java 8 用户发布了 Log4j 2.17.0，以解决拒绝服务 (DOS) 漏洞 — CVE-2021-45105。

鉴于漏洞的严重性以及复杂的网络威胁行为者利用的可能性增加，CISA 敦促供应商和用户采取以下行动。

· 供应商使用 Log4j 立即识别、缓解和更新受影响的产品到最新版本；将包含这些漏洞的产品告知您的最终用户，并强烈敦促他们优先考虑软件更新。

· 受影响的组织查看CISA 的 GitHub 存储库以获取受影响的供应商信息列表，并在软件更新可用时立即应用。

指南中提到技术细节如下：

CVE-2021-44228 RCE 漏洞——影响 Apache 的 Log4j 库，版本 2.0-beta9 到 2.14.1——存在于 Java 命名和目录接口 (JNDI) 用于解析变量的操作中。根据CVE-2021-44228 列表，受影响的 Log4j 版本包含 JNDI 功能（例如消息查找替换），“无法抵御攻击者控制的 LDAP [轻量级目录访问协议]和其他 JNDI 相关端点。”

· 注意：解决 CVE-2021-45046 漏洞的 Apache Log4j 2.16.0 版安全更新禁用了 JDNI。

攻击者可以通过向易受攻击的系统提交特制的请求，导致该系统执行任意代码来利用 CVE-2021-44228。该请求允许对手完全控制系统。然后，攻击者可以窃取信息、启动勒索软件或进行其他恶意活动。

CISA 建议受影响的实体采取以下措施：

· 使用两种验证方法，按照下表确定您组织的 Log4j 产品是否易受攻击：CISA 的 GitHub 存储库和 CERT/CC 的 CVE-2021-44228_scanner。

· 查看 Apache 的Log4j 安全漏洞页面以获取更多信息，并在适当情况下应用提供的解决方法。

· 立即应用可用的补丁。

2. 优先打补丁，从关键任务系统、面向互联网的系统和联网服务器开始。然后优先修补其他受影响的信息技术和运营技术资产。

2. 按照紧急指令 (ED) 22-02：缓解 Apache Log4j 漏洞要求，立即修补易受攻击的面向互联网的资产。

· 进行安全审查以确定是否存在安全问题。使用受影响的 Log4j 版本的任何服务的日志文件将包含用户控制的字符串。

三、欧盟网安局关于 Log4Shell 的联合声明

15日，欧盟网安局发布关于 Log4Shell 的联合声明《关于 Log4j 漏洞的评估和建议》。

声明称，自 2021 年 12 月 10 日以来，欧盟委员会、欧盟网络安全局、CERT-EU（欧盟计算机应急响应小组） 和欧盟国家计算机安全事件响应小组网络（CSIRTs 网络）一直在密切关注 Log4Shell 漏洞的发展。

Log4Shell 是著名的开源 Java 日志记录包 Log4j 中的一个漏洞，由 Apache 软件基金会维护。Log4j 用于全球范围内的各种应用程序和 Web 服务。由于漏洞的性质、其普遍性以及在某些受影响环境中修补的复杂性，所有组织，尤其是受网络和信息安全 (NIS) 指令管辖的实体，尽快评估其潜在风险非常重要尽可能。

CSIRT 网络成员不断更新易受攻击的软件列表，该列表由荷兰国家网络安全中心维护。及时采取适当的缓解措施并且组织遵循其国家网络安全当局的指导非常重要。CSIRT 网络成员发布的最新建议可在其相关的官方沟通渠道中找到。组织也可由CERT-EU给出指导。由于这是一个发展中的情况，强烈建议所有组织定期检查 CSIRT 网络成员和 CERT-EU 提供的指南，以获取最新的评估和建议，并根据需要采取行动。机构和所有相关的欧盟参与者将继续监测这一威胁，以促进欧盟层面的整体态势感知。

（来源：Darkreading等。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）