文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

新的Log4J漏洞可触发DoS漏洞

2024-12-02 12:11

关注

 周五,Apache官方发布了一个2.17版补丁,也是针对log4j日志库的一个漏洞进行修补,而这次是针对一个关于DoS的漏洞。

这是log4j的第三个补丁。这个最新的漏洞并不是Log4Shell远程代码执行(RCE)漏洞的变种,该漏洞自12月10日出现以来就一直困扰着IT团队,在其公开披露后的几个小时后就在全球范围内受到了大量的攻击,催生了更多恶劣的变种,并导致Apache在最初发布的补丁中出现拒绝服务(DoS)。

不过,它们确实有相似之处。这个新的漏洞影响到了与Log4Shell漏洞相同的组件。Log4Shell被追踪为CVE-2021-44228(严重性评级为CVSS 10.0),而新的漏洞被追踪为CVE-2021-45105(CVSS评分:7.5),都是攻击者滥用日志数据查找进行攻击。

不同的是,CVE-2021-45105这个漏洞中的查找是Context Map查找,而不是对LDAP服务器的Java命名和目录接口(JNDI)查找,这使得攻击者可以执行Log4Shell漏洞中返回的任何代码。

ContextMapLookup允许应用程序在Log4j ThreadContext Map中存储数据,然后在Log4j配置中检索这些值。例如,一个应用程序可以在ThreadContext Map中以"loginId "为键存储当前用户的登录ID。

这个漏洞与不恰当的输入验证和不受控制的递归有关,这可能会导致DoS攻击。

正如趋势科技研究小组所解释的,Apache Log4j API支持变量替换。然而,由于它的不受控制的递归替换,一个精心设计的恶意变量就可能会导致应用程序崩溃。对查找命令有控制权的攻击者(如通过线程上下文映射)可以制作一个恶意的查找变量,从而导致拒绝服务(DoS)攻击。

这个新的漏洞影响了从2.0-beta9到2.16的所有版本的工具。Apache上周发布了2.16版本,来修补其中的第二个漏洞。第二个漏洞则是RCE漏洞CVE-2021-45046,这是由于Apache对CVE-2021-44228(又称Log4Shell漏洞)的修复不完整造成的。

研究人员继续说道,当一个嵌套变量被StrSubstitutor类替代时,它会递归地调用substitutor()类。然而,当嵌套变量引用被替换的变量时,递归调用的是同一个字符串。这导致了无限的递归和服务器上的DoS攻击。举例来说,如果Pattern Layout包含${ctx.apiversion}的Context Lookup,其分配值为${ctx.apiversion}},则该变量将被递归地替换为自身。

他说,该漏洞已在Log4j 2.16及以下版本上测试并确认。

Apache现在已经公布了解决方案,但ZDI建议升级到最新版本,确保该漏洞得到了彻底修复。

随着漏洞的不断涌现,新的漏洞的大量利用,以及对应补丁的出现,SAP等巨头技术公司一直在不停的修复日志库,并发布产品补丁。

CISA规定要立即修补漏洞

周四,美国网络安全和基础设施安全局(CISA)发布紧急指令,要求联邦民事部门和机构在12月23日星期四之前立即为其面向互联网的系统修补Log4j漏洞。

该库的漏洞所带来的风险是巨大的,因为很多威胁者已经开始对含有漏洞的系统进行了攻击。正如CPR上周强调的那样,目前已经发现的攻击就包括了一个在五个国家进行挖矿的团伙。

上周,微软报告说,Phosphorus(伊朗)以及其他来自朝鲜和土耳其的不知名的APTs组织,正在大量利用Log4Shell进行有针对性的攻击。Phosphorus,又名Charming Kitten、APT35、Ajax Security Team、NewsBeef和Newscaster,因在2020年对全球峰会和会议进行攻击而被人所熟知。

CPR表示,截至周三,Charming Kitten已经攻击了以色列国家七个目标。

Conti勒索软件团伙是攻击者之一

Conti勒索软件团伙也参与到了其中。AdvIntel的研究人员上周说,他们看到Conti正在对VMware vCenter进行攻击。

研究人员上周说,目前该漏洞已经导致了多个相似的案例,Conti集团通过这些案件测试了利用Log4j 2漏洞的可能性。犯罪分子针对特定的含有漏洞的Log4j 2 VMware vCenter 服务器进行攻击,直接在被攻击的网络内部进行横向移动,从而导致美国和欧洲的网络被大量攻击。

上周,一些人怀疑可能是由于Conti团伙的勒索软件攻击,迫使一家家庭经营的连锁餐厅、酒店和啤酒厂麦克曼纽斯关闭了一些业务。

这些漏洞还被各种僵尸网络、远程访问木马(RATs)、初始访问经纪人和一种名为Khonsari的新勒索软件所利用。截至周一,CPR表示,它已经发现超过430万次尝试性利用攻击,其中超过46%是由目前已知的恶意团体进行的。

不眠之夜

趋势科技的Lederfein指出,log4j组件已经运行了很长时间,自从10天前Log4Shell漏洞被曝光以来,就已经获得了相当多的关注。他预测说,预计未来可能会有更多相同的情况。

Shared Assessments的安全专家表示很赞同。他指出,这个漏洞让很多安全专家夜不能寐。这个Javageddon甚至已经渗透到了C-suite。

他通过电子邮件说:"企业高管和董事会成员也对这个漏洞如何影响他们公司的安全有很大的兴趣。整个互联网上都在使用Log4j,这可能会影响多个应用程序和系统。"

安全专家建议说:"你现在可以采取的最好办法是时刻注意观察解决这个漏洞的补丁更新,并及时将它们的软件进行修复。可悲的是,随着他们发现有更多的项目受此漏洞的影响,这似乎将会持续的影响到组织未来的发展"。

本文翻译自:https://threatpost.com/third-log4j-bug-dos-apache-patch/177159/如若转载,请注明原文地址。

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯