Log4shell漏洞曝光后,美国网络安全与基础设施局(CISA)一直在密切关注事态发展。除了敦促联邦机构在圣诞节假期前完成补丁外,国防部下属的机构还启动了#HackDHS漏洞赏金计划。最新消息是,CISA推出了名为log4j-scanner的漏洞扫描器,以帮助机构筛选易受攻击的Web服务。据悉,作为CISA快速行动团队和开源社区团队的衍生项目,log4j-scanner可以识别易受两个Apache远程代码执行漏洞(CVE-2021-44228和CVE-2021-45046)攻击的Web服务,分别)。).该扫描解决方案基于类似的工具,包括由网络安全公司FullHunt开发的针对CVE-2021-44228漏洞的自动扫描框架。有需要的安全团队可以使用此工具扫描网络主机,以发现Log4jRCE暴露的潜在威胁,并允许Web应用程序绕过防火墙(WAF)。目前该项目在Github上已获得814颗星。
