周五,Apache官方发布了一个2.17版补丁,也是针对log4j日志库的一个漏洞进行修补,而这次是针对一个关于DoS的漏洞。
这是log4j的第三个补丁。这个最新的漏洞并不是Log4Shell远程代码执行(RCE)漏洞的变种,该漏洞自12月10日出现以来就一直困扰着IT团队,在其公开披露后的几个小时后就在全球范围内受到了大量的攻击,催生了更多恶劣的变种,并导致Apache在最初发布的补丁中出现拒绝服务(DoS)。
不过,它们确实有相似之处。这个新的漏洞影响到了与Log4Shell漏洞相同的组件。Log4Shell被追踪为CVE-2021-44228(严重性评级为CVSS 10.0),而新的漏洞被追踪为CVE-2021-45105(CVSS评分:7.5),都是攻击者滥用日志数据查找进行攻击。
不同的是,CVE-2021-45105这个漏洞中的查找是Context Map查找,而不是对LDAP服务器的Java命名和目录接口(JNDI)查找,这使得攻击者可以执行Log4Shell漏洞中返回的任何代码。
ContextMapLookup允许应用程序在Log4j ThreadContext Map中存储数据,然后在Log4j配置中检索这些值。例如,一个应用程序可以在ThreadContext Map中以"loginId "为键存储当前用户的登录ID。
这个漏洞与不恰当的输入验证和不受控制的递归有关,这可能会导致DoS攻击。
正如趋势科技研究小组所解释的,Apache Log4j API支持变量替换。然而,由于它的不受控制的递归替换,一个精心设计的恶意变量就可能会导致应用程序崩溃。对查找命令有控制权的攻击者(如通过线程上下文映射)可以制作一个恶意的查找变量,从而导致拒绝服务(DoS)攻击。
这个新的漏洞影响了从2.0-beta9到2.16的所有版本的工具。Apache上周发布了2.16版本,来修补其中的第二个漏洞。第二个漏洞则是RCE漏洞CVE-2021-45046,这是由于Apache对CVE-2021-44228(又称Log4Shell漏洞)的修复不完整造成的。
研究人员继续说道,当一个嵌套变量被StrSubstitutor类替代时,它会递归地调用substitutor()类。然而,当嵌套变量引用被替换的变量时,递归调用的是同一个字符串。这导致了无限的递归和服务器上的DoS攻击。举例来说,如果Pattern Layout包含${ctx.apiversion}的Context Lookup,其分配值为${ctx.apiversion}},则该变量将被递归地替换为自身。
他说,该漏洞已在Log4j 2.16及以下版本上测试并确认。
Apache现在已经公布了解决方案,但ZDI建议升级到最新版本,确保该漏洞得到了彻底修复。
随着漏洞的不断涌现,新的漏洞的大量利用,以及对应补丁的出现,SAP等巨头技术公司一直在不停的修复日志库,并发布产品补丁。
CISA规定要立即修补漏洞
周四,美国网络安全和基础设施安全局(CISA)发布紧急指令,要求联邦民事部门和机构在12月23日星期四之前立即为其面向互联网的系统修补Log4j漏洞。
该库的漏洞所带来的风险是巨大的,因为很多威胁者已经开始对含有漏洞的系统进行了攻击。正如CPR上周强调的那样,目前已经发现的攻击就包括了一个在五个国家进行挖矿的团伙。
上周,微软报告说,Phosphorus(伊朗)以及其他来自朝鲜和土耳其的不知名的APTs组织,正在大量利用Log4Shell进行有针对性的攻击。Phosphorus,又名Charming Kitten、APT35、Ajax Security Team、NewsBeef和Newscaster,因在2020年对全球峰会和会议进行攻击而被人所熟知。
CPR表示,截至周三,Charming Kitten已经攻击了以色列国家七个目标。
Conti勒索软件团伙是攻击者之一
Conti勒索软件团伙也参与到了其中。AdvIntel的研究人员上周说,他们看到Conti正在对VMware vCenter进行攻击。
研究人员上周说,目前该漏洞已经导致了多个相似的案例,Conti集团通过这些案件测试了利用Log4j 2漏洞的可能性。犯罪分子针对特定的含有漏洞的Log4j 2 VMware vCenter 服务器进行攻击,直接在被攻击的网络内部进行横向移动,从而导致美国和欧洲的网络被大量攻击。
上周,一些人怀疑可能是由于Conti团伙的勒索软件攻击,迫使一家家庭经营的连锁餐厅、酒店和啤酒厂麦克曼纽斯关闭了一些业务。
这些漏洞还被各种僵尸网络、远程访问木马(RATs)、初始访问经纪人和一种名为Khonsari的新勒索软件所利用。截至周一,CPR表示,它已经发现超过430万次尝试性利用攻击,其中超过46%是由目前已知的恶意团体进行的。
不眠之夜
趋势科技的Lederfein指出,log4j组件已经运行了很长时间,自从10天前Log4Shell漏洞被曝光以来,就已经获得了相当多的关注。他预测说,预计未来可能会有更多相同的情况。
Shared Assessments的安全专家表示很赞同。他指出,这个漏洞让很多安全专家夜不能寐。这个Javageddon甚至已经渗透到了C-suite。
他通过电子邮件说:"企业高管和董事会成员也对这个漏洞如何影响他们公司的安全有很大的兴趣。整个互联网上都在使用Log4j,这可能会影响多个应用程序和系统。"
安全专家建议说:"你现在可以采取的最好办法是时刻注意观察解决这个漏洞的补丁更新,并及时将它们的软件进行修复。可悲的是,随着他们发现有更多的项目受此漏洞的影响,这似乎将会持续的影响到组织未来的发展"。
本文翻译自:https://threatpost.com/third-log4j-bug-dos-apache-patch/177159/如若转载,请注明原文地址。
