Apache发布第三个补丁修复新的高严重性Log4j漏洞

随着Apache软件基金会（ASF）星期五推出了另一个补丁和第8212版，Log4J的问题继续堆叠起来；版本2.17.0—；对于广泛使用的日志库，恶意参与者可能会利用该库发起拒绝服务（DoS）攻击。

追踪为CVE-2021-45105（CVSS评分：7.5），新的漏洞会影响从2.0-beta9到2.16.0的所有版本的工具，开源非营利组织本周早些时候发布了该工具，以修复第二个可能导致远程代码执行的漏洞（CVE-2021-45046），而这又源于CVE-2021-44228的“不完整”修复，否则称为Log4Shell漏洞。

“ApacheLog4J2版本2.0-alpha1到2.16.0没有保护不受自引用查找的不受控递归，”ASF在修订后的建议中解释道。“当日志记录配置使用带有上下文查找的非默认模式布局（例如，$${ctx:loginId}）时，具有线程上下文映射（MDC）输入数据控制权的攻击者可以手工生成包含递归查找的恶意输入数据，从而导致StackOverflower错误，从而终止进程。”

Akamai Technologies的冈本英机（Hideki Okamoto）和一名匿名漏洞研究人员报告了该漏洞。Log4j版本1。x、 但是，不受CVE-2021-45105的影响。

值得指出的是，CVE-2021-45046的严重性评分最初被归类为DoS错误，后来从3.7修订为9.0，为了反映攻击者可能滥用该漏洞发送精心编制的字符串，从而导致“某些环境中的信息泄漏和远程代码执行，以及所有环境中的本地代码执行”，Praetorian安全研究人员此前的一份报告证实了这一点。

项目维护人员还注意到Log4j版本1。x已经到了生命的尽头，不再受支持，2015年8月之后该实用程序中发现的安全缺陷将不会得到修复，敦促用户升级到Log4j 2以获得最新的修复。

修复是急诊科最新的一个动态，美国网络安全和基础设施安全局（CISA）发布紧急指令，要求联邦民政部门和机构在2021年12月23日前立即为Apache Log4J漏洞修补其面向互联网的系统。指出这些弱点构成了“不可接受的风险”

发展也出现了Log4J缺陷已经成为一个有利可图的攻击向量和一个焦点，以开发多个威胁行动者，包括来自中国、伊朗、朝鲜和土耳其等国家支持的黑客以及康提软件集团，以执行一系列后续的恶意活动。这标志着这一漏洞首次受到复杂的犯罪软件卡特尔的关注。

AdvIntel的研究人员说：“当前的攻击导致了多个用例，Conti小组通过这些用例测试了利用Log4j 2攻击的可能性。”。“犯罪分子以特定易受攻击的Log4j 2 VMware vCenter[服务器]为目标，直接从受损的网络进行横向移动，导致vCenter访问从之前存在的Cobalt攻击会话影响美国和欧洲受害者网络。”

利用该漏洞的其他工具包括加密货币矿工、僵尸网络、远程访问特洛伊木马、初始访问代理和一种名为Khonsari的新勒索软件。以色列安全公司Check Point表示，迄今为止，该公司记录了370多万次攻击企图，其中46%的攻击是由已知的恶意组织实施的。