您所在的位置: 首頁 >
安全研究 >
安全通告 >
新的Log4J漏洞可觸發(fā)DoS漏洞
周五,Apache官方發(fā)布了一個(gè)2.17版補(bǔ)丁,也是針對log4j日志庫的一個(gè)漏洞進(jìn)行修補(bǔ),而這次是針對一個(gè)關(guān)于DoS的漏洞。
這是log4j的第三個(gè)補(bǔ)丁。這個(gè)最新的漏洞并不是Log4Shell遠(yuǎn)程代碼執(zhí)行(RCE)漏洞的變種,該漏洞自12月10日出現(xiàn)以來就一直困擾著IT團(tuán)隊(duì),在其公開披露后的幾個(gè)小時(shí)后就在全球范圍內(nèi)受到了大量的攻擊,催生了更多惡劣的變種,并導(dǎo)致Apache在最初發(fā)布的補(bǔ)丁中出現(xiàn)拒絕服務(wù)(DoS)。
不過,它們確實(shí)有相似之處。這個(gè)新的漏洞影響到了與Log4Shell漏洞相同的組件。Log4Shell被追蹤為CVE-2021-44228(嚴(yán)重性評級為CVSS 10.0),而新的漏洞被追蹤為CVE-2021-45105(CVSS評分:7.5),都是攻擊者濫用日志數(shù)據(jù)查找進(jìn)行攻擊。
不同的是,CVE-2021-45105這個(gè)漏洞中的查找是Context Map查找,而不是對LDAP服務(wù)器的Java命名和目錄接口(JNDI)查找,這使得攻擊者可以執(zhí)行Log4Shell漏洞中返回的任何代碼。
ContextMapLookup允許應(yīng)用程序在Log4j ThreadContext Map中存儲數(shù)據(jù),然后在Log4j配置中檢索這些值。例如,一個(gè)應(yīng)用程序可以在ThreadContext Map中以"loginId "為鍵存儲當(dāng)前用戶的登錄ID。
這個(gè)漏洞與不恰當(dāng)?shù)妮斎腧?yàn)證和不受控制的遞歸有關(guān),這可能會導(dǎo)致DoS攻擊。
正如趨勢科技研究小組所解釋的,Apache Log4j API支持變量替換。然而,由于它的不受控制的遞歸替換,一個(gè)精心設(shè)計(jì)的惡意變量就可能會導(dǎo)致應(yīng)用程序崩潰。對查找命令有控制權(quán)的攻擊者(如通過線程上下文映射)可以制作一個(gè)惡意的查找變量,從而導(dǎo)致拒絕服務(wù)(DoS)攻擊。
這個(gè)新的漏洞影響了從2.0-beta9到2.16的所有版本的工具。Apache上周發(fā)布了2.16版本,來修補(bǔ)其中的第二個(gè)漏洞。第二個(gè)漏洞則是RCE漏洞CVE-2021-45046,這是由于Apache對CVE-2021-44228(又稱Log4Shell漏洞)的修復(fù)不完整造成的。
研究人員繼續(xù)說道,當(dāng)一個(gè)嵌套變量被StrSubstitutor類替代時(shí),它會遞歸地調(diào)用substitutor()類。然而,當(dāng)嵌套變量引用被替換的變量時(shí),遞歸調(diào)用的是同一個(gè)字符串。這導(dǎo)致了無限的遞歸和服務(wù)器上的DoS攻擊。舉例來說,如果Pattern Layout包含${ctx.apiversion}的Context Lookup,其分配值為${ctx.apiversion}},則該變量將被遞歸地替換為自身。
他說,該漏洞已在Log4j 2.16及以下版本上測試并確認(rèn)。
Apache現(xiàn)在已經(jīng)公布了解決方案,但ZDI建議升級到最新版本,確保該漏洞得到了徹底修復(fù)。
隨著漏洞的不斷涌現(xiàn),新的漏洞的大量利用,以及對應(yīng)補(bǔ)丁的出現(xiàn),SAP等巨頭技術(shù)公司一直在不停的修復(fù)日志庫,并發(fā)布產(chǎn)品補(bǔ)丁。
CISA規(guī)定要立即修補(bǔ)漏洞
周四,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布緊急指令,要求聯(lián)邦民事部門和機(jī)構(gòu)在12月23日星期四之前立即為其面向互聯(lián)網(wǎng)的系統(tǒng)修補(bǔ)Log4j漏洞。
該庫的漏洞所帶來的風(fēng)險(xiǎn)是巨大的,因?yàn)楹芏嗤{者已經(jīng)開始對含有漏洞的系統(tǒng)進(jìn)行了攻擊。正如CPR上周強(qiáng)調(diào)的那樣,目前已經(jīng)發(fā)現(xiàn)的攻擊就包括了一個(gè)在五個(gè)國家進(jìn)行挖礦的團(tuán)伙。
上周,微軟報(bào)告說,Phosphorus(伊朗)以及其他來自朝鮮和土耳其的不知名的APTs組織,正在大量利用Log4Shell進(jìn)行有針對性的攻擊。Phosphorus,又名Charming Kitten、APT35、Ajax Security Team、NewsBeef和Newscaster,因在2020年對全球峰會和會議進(jìn)行攻擊而被人所熟知。
CPR表示,截至周三,Charming Kitten已經(jīng)攻擊了以色列國家七個(gè)目標(biāo)。
Conti勒索軟件團(tuán)伙是攻擊者之一
Conti勒索軟件團(tuán)伙也參與到了其中。AdvIntel的研究人員上周說,他們看到Conti正在對VMware vCenter進(jìn)行攻擊。
研究人員上周說,目前該漏洞已經(jīng)導(dǎo)致了多個(gè)相似的案例,Conti集團(tuán)通過這些案件測試了利用Log4j 2漏洞的可能性。犯罪分子針對特定的含有漏洞的Log4j 2 VMware vCenter 服務(wù)器進(jìn)行攻擊,直接在被攻擊的網(wǎng)絡(luò)內(nèi)部進(jìn)行橫向移動,從而導(dǎo)致美國和歐洲的網(wǎng)絡(luò)被大量攻擊。
上周,一些人懷疑可能是由于Conti團(tuán)伙的勒索軟件攻擊,迫使一家家庭經(jīng)營的連鎖餐廳、酒店和啤酒廠麥克曼紐斯關(guān)閉了一些業(yè)務(wù)。
這些漏洞還被各種僵尸網(wǎng)絡(luò)、遠(yuǎn)程訪問木馬(RATs)、初始訪問經(jīng)紀(jì)人和一種名為Khonsari的新勒索軟件所利用。截至周一,CPR表示,它已經(jīng)發(fā)現(xiàn)超過430萬次嘗試性利用攻擊,其中超過46%是由目前已知的惡意團(tuán)體進(jìn)行的。
不眠之夜
趨勢科技的Lederfein指出,log4j組件已經(jīng)運(yùn)行了很長時(shí)間,自從10天前Log4Shell漏洞被曝光以來,就已經(jīng)獲得了相當(dāng)多的關(guān)注。他預(yù)測說,預(yù)計(jì)未來可能會有更多相同的情況。
Shared Assessments的安全專家表示很贊同。他指出,這個(gè)漏洞讓很多安全專家夜不能寐。這個(gè)Javageddon甚至已經(jīng)滲透到了C-suite。
他通過電子郵件說:"企業(yè)高管和董事會成員也對這個(gè)漏洞如何影響他們公司的安全有很大的興趣。整個(gè)互聯(lián)網(wǎng)上都在使用Log4j,這可能會影響多個(gè)應(yīng)用程序和系統(tǒng)。"
安全專家建議說:"你現(xiàn)在可以采取的最好辦法是時(shí)刻注意觀察解決這個(gè)漏洞的補(bǔ)丁更新,并及時(shí)將它們的軟件進(jìn)行修復(fù)??杀氖牵S著他們發(fā)現(xiàn)有更多的項(xiàng)目受此漏洞的影響,這似乎將會持續(xù)的影響到組織未來的發(fā)展"。
參考及來源:https://threatpost.com/third-log4j-bug-dos-apache-patch/177159/
文章來源:嘶吼專業(yè)版