新的局部攻击向量扩展了Log4J漏洞攻击面
网络安全研究人员发现了一种全新的攻击向量,它可以让敌人在本地使用JavaScript WebSoCube连接来利用服务器上的Log4Sead漏洞。Matthew Warner说,“新发现的攻击向量意味着任何一个在其机器或本地专用网络上有漏洞的Log4J版本的人都可以浏览网站,并可能触发漏洞。”“目前,还没有证据表明存在主动攻击。该向量显著扩展了攻击面,甚至可以影响作为本地主机运行的服务,这些服务未暴露于任何网络。”
WebSocket允许web浏览器(或其他客户端应用程序)和服务器之间进行双向通信,这与HTTP不同,HTTP是单向的,客户端发送请求,服务器发送响应
#虽然这个问题可以通过将所有本地开发和面向互联网的环境更新到Log4j 2.16.0来解决,但Apache在周五推出了版本2.17.0,该版本修复了被追踪为CVE-2021-45105(CVSS分数:7.5)的拒绝服务(DoS)漏洞,这是继CVE-2021-45046和CVE-2021-44228之后发现的第三个日志4j2缺陷
- CVE-2021-45105(CVSS分数:7.5)-一个拒绝服务漏洞,影响从2.0-beta9到2.16.0的Log4j版本(在版本2.17.0中修复)
- CVE-2021-4104(CVSS分数:8.1)-影响Log4j 1.2版的不可信反序列化缺陷(无可用修复程序;升级至2.17.0版)
- CVE-2021-44228(CVSS分数:10.0)-一个远程代码执行漏洞,影响从2.0-beta9到2.14.1的Log4j版本(在版本2.15.0中修复)
- CVE-2021-45046(CVSS分数:9.0)-一种信息泄漏和远程代码执行漏洞,影响从2.0-beta9到2.15.0的Log4j版本,不包括2.12.2.2.2.2(在2.16.0版本中修复)
“鉴于对该库的额外关注,我们不应该对Log4j中发现的额外漏洞感到惊讶,”事故响应公司BreakQuest的首席技术官兼联合创始人杰克·威廉姆斯(Jake Williams)说。“与Log4j类似,今年夏天,最初的Print噩梦漏洞披露导致发现了多个额外的不同漏洞。Log4j中额外漏洞的发现不应引起对Log4j本身安全性的担忧。如果有什么不同的话,Log4j更安全,因为rese弓箭手。"
最新的事态发展正值一些威胁行为体利用Log4j漏洞发起各种攻击之际,包括涉及总部位于俄罗斯的康蒂集团的勒索软件感染和一种名为孔萨里的新勒索软件毒株。此外,Sangfor和策展英特尔的研究人员称,Log4j远程代码执行漏洞还为第三个勒索软件家族TellYouThePass打开了大门,该家族被用于攻击Windows和Linux设备#Bitdefender蜜罐表示活跃的Log4Shell 0天攻击正在进行
这个容易被利用、无处不在的漏洞,除了产生多达60种变体外,还为对手提供了一个完美的机会之窗,罗马尼亚网络安全公司Bitdefender指出,超过50%的攻击都是利用Tor匿名服务掩盖其真实来源
“换句话说,利用Log4j的威胁行为体正在通过更接近其预期目标的机器进行攻击,仅仅因为我们没有看到通常与网络安全威胁相关的国家排在列表的首位,并不意味着攻击不是源自那里,”Martin Zugec,Bitdefender的技术解决方案总监说
根据12月11日至12月15日期间收集的遥测数据,仅德国和美国就占了所有开采尝试的60%。观测期间最常见的攻击目标是美国、加拿大、英国、罗马尼亚、德国、澳大利亚、法国、荷兰、巴西和意大利。
这一发展也与谷歌开源洞察团队的分析相吻合,该团队发现大约有35863个Java包—;占Maven中央存储库的8%以上—;使用易受攻击的Apache Log4j库版本。在受影响的工件中,只有大约7000个包直接依赖于Log4j
“我们可能需要一段时间才能了解log4j漏洞的全部后果,但这只是因为它嵌入了太多的软件,”威廉姆斯说。“这与threat actor恶意软件无关。它与查找该库嵌入的无数位置的困难有关。该漏洞本身将为威胁参与者提供初始访问权限,他们随后将执行权限提升和横向移动–;这才是真正的风险所在。”
