周五,Apache官方发布了2.17补丁,同样是针对log4j日志库的一个漏洞进行了补丁,这次是针对DoS漏洞。这是log4j的第三个补丁。这个最新的漏洞不是Log4Shell远程代码执行(RCE)漏洞的变体,该漏洞自12月10日出现以来一直困扰着IT团队,并在公开披露后仅数小时就在全球范围内受到打击。大量的攻击催生了更多的恶意变种,并导致Apache在最初的补丁发布中遭遇了拒绝服务(DoS)。不过,它们确实有相似之处。这个新漏洞影响与Log4Shell漏洞相同的组件。Log4Shell被追踪为CVE-2021-44228(CVSS10.0严重等级),新漏洞被追踪为CVE-2021-45105(CVSS评分:7.5),这两个漏洞都被攻击者滥用日志数据查找所利用。不同之处在于,CVE-2021-45105漏洞中的查找是上下文映射查找,而不是Java命名和目录接口(JNDI)查找LDAP服务器,这允许攻击者执行Log4Shell漏洞中返回的任何代码。ContextMapLookup允许应用程序将数据存储在Log4jThreadContextMap中,然后在Log4j配置中检索这些值。例如,应用程序可以使用键“loginId”将当前用户的登录ID存储在ThreadContextMap中。此漏洞与不正确的输入验证和不受控制的递归有关,可能导致DoS攻击。正如趋势科技研究团队所解释的那样,ApacheLog4jAPI支持变量替换。但是,由于其不受控制的递归替换,恶意制作的变量可能会使应用程序崩溃。控制查找命令(例如通过线程上下文映射)的攻击者可以制作恶意查找变量,从而导致拒绝服务(DoS)攻击。这个新漏洞影响该工具的所有版本,从2.0-beta9到2.16。Apache上周发布了2.16版本来修复第二个漏洞。第二个漏洞是RCE漏洞CVE-2021-45046,这是由于Apache对CVE-2021-44228(又名Log4Shell漏洞)修复不完整造成的。研究人员继续说,当嵌套变量被StrSubstitutor类替换时,它会递归调用substitutor()类。但是,当嵌套变量引用替换变量时,会递归调用相同的字符串。这会导致无限递归和对服务器的DoS攻击。例如,如果模式布局包含${ctx.apiversion}的上下文查找,其赋值为${ctx.apiversion}},则该变量将递归地替换为自身。他说,该漏洞已经在Log4j2.16及以下版本上进行了测试和确认。Apache目前已经发布了解决方案,但ZDI建议升级到最新版本,以确保漏洞得到全面修复。随着漏洞的不断出现,新漏洞的大量利用,以及相应补丁的出现,SAP等科技巨头纷纷修复日志库,发布产品补丁。CISA要求立即修补漏洞周四,美国网络安全和基础设施安全局(CISA)发布了一项紧急指令,要求联邦文职部门和机构在12月23日星期四之前立即修补其面向互联网的系统中的Log4j漏洞。这个库中的漏洞是巨大的,因为许多威胁参与者已经对易受攻击的系统发起了攻击。正如CPR上周强调的那样,迄今为止发现的攻击包括一个在五个国家开展业务的采矿集团。上周,微软报告称,Phosphorus(伊朗)以及来自朝鲜和土耳其的其他未具名APT大量利用Log4Shell进行有针对性的攻击。Phosphorus,也被称为CharmingKitten、APT35、AjaxSecurityTeam、NewsBeef和Newscaster,以其在2020年对全球峰会和会议的攻击而闻名。CPR表示,截至周三,CharmingKitten已经袭击了以色列州的七个目标。Conti勒索团伙是攻击者之一Conti勒索团伙也参与其中。AdvIntel的研究人员上周表示,他们看到Conti攻击VMwarevCenter。研究人员上周表示,该漏洞现已导致多个类似案例,Conti小组通过这些案例测试了利用Log4j2漏洞的可能性。犯罪分子以特定易受攻击的Log4j2VMwarevCenter服务器为目标,直接横向移动到受攻击的网络内部,导致对美国和欧洲网络的大规模攻击。上周,家族经营的餐厅、酒店和啤酒连锁店McManus被迫关闭部分业务,一些人怀疑这可能是Conti团伙发起的勒索软件攻击。这些漏洞还被各种僵尸网络、远程访问木马(RAT)、初始访问代理和一种名为Khonsari的新型勒索软件所利用。截至周一,CPR表示已发现超过430万次未遂攻击,其中超过46%是由目前已知的恶意组织实施的。SleeplessTrendMicro的Lederfein指出,自10天前Log4Shell漏洞被曝光以来,log4j组件已经运行了很长时间,并获得了相当大的关注。他预测,未来会出现更多类似情况。SharedAssessments的安全专家对此表示赞同。他指出,这个漏洞让许多安全专家彻夜难眠。这个Javageddon甚至已经渗透到最高管理层。“公司高管和董事会成员也很关心这个漏洞如何影响他们公司的安全,”他通过电子邮件说。“Log4j在Internet上广泛使用,可能会影响多个应用程序和系统。”安全专家建议:“你现在能做的最好的事情就是密切关注解决此漏洞的补丁更新,并及时修复他们的软件。可悲的是,随着他们发现更多项目受到此漏洞的影响。”影响,似乎继续影响该组织未来的发展”。本文翻译自:https://threatpost.com/third-log4j-bug-dos-apache-patch/177159/如有转载,请注明原地址。
