多位网络安全专家现已发布免费使用的扫描程序,以帮助组织查找易受攻击的 Log4j 实例。
例如,网络安全和基础设施安全局 (CISA)在 GitHub 上发布了一个 Log4j 扫描器,它基于安全公司 FullHunt 构建的先前版本。
CISA 表示,该工具会扫描两个漏洞——CVE-2021-44228 和 CVE-2021-45046——并支持 DNS 回调以进行漏洞发现和验证。它还为 HTTP POST 数据参数以及 JSON 数据参数提供自动错误检测。
Crowdstrike 的网络安全专家也发布了一款名为 CAST 的类似扫描仪。
扫描仪有缺陷
然而,研究人员警告说,这些工具都不是完美的,最终可能会遗漏一两个漏洞。
安全公司 Rezilion 的研究主管 Yotam Perkal 分析了这些工具并在博客文章中发布了结果。根据 Perkal 的说法,许多扫描程序错过了该漏洞的某些版本。
“最大的挑战在于在生产环境中检测打包软件中的 Log4Shell:Java 文件(例如 Log4j)可以嵌套在其他文件的几层深处——这意味着对文件的浅层搜索不会找到它,”写道珀卡尔。“此外,它们可能以多种不同的格式打包,这对在其他 Java 包中挖掘它们造成了真正的挑战。”
Perkal 总共测试了 9 个扫描器,虽然其中一些扫描器的性能优于其他扫描器,但没有一个能够识别所有易受攻击的 Log4j 部署。
“这也提醒我们,检测能力取决于您的检测方法。扫描仪有盲点,”Perkal 总结道。“安全领导者不能盲目地假设各种开源甚至商业级工具都能够检测到每一个边缘情况。而在 Log4j 的情况下,很多地方都有很多边缘实例。”
Log4Shell
Log4j 是一个 Java 记录器,最近发现它存在一个严重缺陷,它可能允许恶意行为者(即使是那些技能很少的人)在数百万个端点上运行任意代码,并推出恶意软件、勒索软件和加密矿工。
进一步调查发现,被称为该缺陷的 Log4Shell 是近代历史上最严重的安全漏洞之一。CISA 主任 Jen Easterly 将其描述为她在整个职业生涯中所见过的“最严重的事件之一”,“如果不是最严重的”。
到目前为止,Apache自发现该漏洞以来已经为Log4j至少发布了三个补丁,并敦促用户立即更新。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.