您所在的位置: 首頁 >
安全研究 >
安全通告 >
新的Log4J漏洞可觸發(fā)DoS漏洞
周五,Apache官方發(fā)布了一個2.17版補丁,也是針對log4j日志庫的一個漏洞進行修補,而這次是針對一個關于DoS的漏洞。
這是log4j的第三個補丁。這個最新的漏洞并不是Log4Shell遠程代碼執(zhí)行(RCE)漏洞的變種,該漏洞自12月10日出現(xiàn)以來就一直困擾著IT團隊,在其公開披露后的幾個小時后就在全球范圍內(nèi)受到了大量的攻擊,催生了更多惡劣的變種,并導致Apache在最初發(fā)布的補丁中出現(xiàn)拒絕服務(DoS)。
不過,它們確實有相似之處。這個新的漏洞影響到了與Log4Shell漏洞相同的組件。Log4Shell被追蹤為CVE-2021-44228(嚴重性評級為CVSS 10.0),而新的漏洞被追蹤為CVE-2021-45105(CVSS評分:7.5),都是攻擊者濫用日志數(shù)據(jù)查找進行攻擊。
不同的是,CVE-2021-45105這個漏洞中的查找是Context Map查找,而不是對LDAP服務器的Java命名和目錄接口(JNDI)查找,這使得攻擊者可以執(zhí)行Log4Shell漏洞中返回的任何代碼。
ContextMapLookup允許應用程序在Log4j ThreadContext Map中存儲數(shù)據(jù),然后在Log4j配置中檢索這些值。例如,一個應用程序可以在ThreadContext Map中以"loginId "為鍵存儲當前用戶的登錄ID。
這個漏洞與不恰當?shù)妮斎腧炞C和不受控制的遞歸有關,這可能會導致DoS攻擊。
正如趨勢科技研究小組所解釋的,Apache Log4j API支持變量替換。然而,由于它的不受控制的遞歸替換,一個精心設計的惡意變量就可能會導致應用程序崩潰。對查找命令有控制權(quán)的攻擊者(如通過線程上下文映射)可以制作一個惡意的查找變量,從而導致拒絕服務(DoS)攻擊。
這個新的漏洞影響了從2.0-beta9到2.16的所有版本的工具。Apache上周發(fā)布了2.16版本,來修補其中的第二個漏洞。第二個漏洞則是RCE漏洞CVE-2021-45046,這是由于Apache對CVE-2021-44228(又稱Log4Shell漏洞)的修復不完整造成的。
研究人員繼續(xù)說道,當一個嵌套變量被StrSubstitutor類替代時,它會遞歸地調(diào)用substitutor()類。然而,當嵌套變量引用被替換的變量時,遞歸調(diào)用的是同一個字符串。這導致了無限的遞歸和服務器上的DoS攻擊。舉例來說,如果Pattern Layout包含${ctx.apiversion}的Context Lookup,其分配值為${ctx.apiversion}},則該變量將被遞歸地替換為自身。
他說,該漏洞已在Log4j 2.16及以下版本上測試并確認。
Apache現(xiàn)在已經(jīng)公布了解決方案,但ZDI建議升級到最新版本,確保該漏洞得到了徹底修復。
隨著漏洞的不斷涌現(xiàn),新的漏洞的大量利用,以及對應補丁的出現(xiàn),SAP等巨頭技術公司一直在不停的修復日志庫,并發(fā)布產(chǎn)品補丁。
CISA規(guī)定要立即修補漏洞
周四,美國網(wǎng)絡安全和基礎設施安全局(CISA)發(fā)布緊急指令,要求聯(lián)邦民事部門和機構(gòu)在12月23日星期四之前立即為其面向互聯(lián)網(wǎng)的系統(tǒng)修補Log4j漏洞。
該庫的漏洞所帶來的風險是巨大的,因為很多威脅者已經(jīng)開始對含有漏洞的系統(tǒng)進行了攻擊。正如CPR上周強調(diào)的那樣,目前已經(jīng)發(fā)現(xiàn)的攻擊就包括了一個在五個國家進行挖礦的團伙。
上周,微軟報告說,Phosphorus(伊朗)以及其他來自朝鮮和土耳其的不知名的APTs組織,正在大量利用Log4Shell進行有針對性的攻擊。Phosphorus,又名Charming Kitten、APT35、Ajax Security Team、NewsBeef和Newscaster,因在2020年對全球峰會和會議進行攻擊而被人所熟知。
CPR表示,截至周三,Charming Kitten已經(jīng)攻擊了以色列國家七個目標。
Conti勒索軟件團伙是攻擊者之一
Conti勒索軟件團伙也參與到了其中。AdvIntel的研究人員上周說,他們看到Conti正在對VMware vCenter進行攻擊。
研究人員上周說,目前該漏洞已經(jīng)導致了多個相似的案例,Conti集團通過這些案件測試了利用Log4j 2漏洞的可能性。犯罪分子針對特定的含有漏洞的Log4j 2 VMware vCenter 服務器進行攻擊,直接在被攻擊的網(wǎng)絡內(nèi)部進行橫向移動,從而導致美國和歐洲的網(wǎng)絡被大量攻擊。
上周,一些人懷疑可能是由于Conti團伙的勒索軟件攻擊,迫使一家家庭經(jīng)營的連鎖餐廳、酒店和啤酒廠麥克曼紐斯關閉了一些業(yè)務。
這些漏洞還被各種僵尸網(wǎng)絡、遠程訪問木馬(RATs)、初始訪問經(jīng)紀人和一種名為Khonsari的新勒索軟件所利用。截至周一,CPR表示,它已經(jīng)發(fā)現(xiàn)超過430萬次嘗試性利用攻擊,其中超過46%是由目前已知的惡意團體進行的。
不眠之夜
趨勢科技的Lederfein指出,log4j組件已經(jīng)運行了很長時間,自從10天前Log4Shell漏洞被曝光以來,就已經(jīng)獲得了相當多的關注。他預測說,預計未來可能會有更多相同的情況。
Shared Assessments的安全專家表示很贊同。他指出,這個漏洞讓很多安全專家夜不能寐。這個Javageddon甚至已經(jīng)滲透到了C-suite。
他通過電子郵件說:"企業(yè)高管和董事會成員也對這個漏洞如何影響他們公司的安全有很大的興趣。整個互聯(lián)網(wǎng)上都在使用Log4j,這可能會影響多個應用程序和系統(tǒng)。"
安全專家建議說:"你現(xiàn)在可以采取的最好辦法是時刻注意觀察解決這個漏洞的補丁更新,并及時將它們的軟件進行修復??杀氖?,隨著他們發(fā)現(xiàn)有更多的項目受此漏洞的影響,這似乎將會持續(xù)的影響到組織未來的發(fā)展"。
參考及來源:https://threatpost.com/third-log4j-bug-dos-apache-patch/177159/
文章來源:嘶吼專業(yè)版