CISA 主任 Jen Easterly 说 Log4j 是她见过的最糟糕的，而且它们将运行多年

CISA主任， Jen Easterly 说 Log4j 的安全漏洞是她见过的最糟糕的 在他的车里 和 安全专业人员将面临后果 从错误很长一段时间。

如果不打补丁 一个月前在 Java Apache Log4j 日志库中发现的主要安全漏洞 对互联网的大部分领域构成风险， 黑客可以利用广泛使用的软件的漏洞劫持计算机服务器，使从消费电子产品到政府和企业系统的一切都面临网络攻击的风险。

9月XNUMX日，被发现 Apache log4j 日志库中的一个漏洞。 该库广泛用于 Java/J2EE 应用程序开发项目，以及基于标准 Java/J2EE 的软件解决方案的提供商。

Log4j 包含一个可用于查询的搜索机制 通过格式字符串中的特殊语法。 默认情况下，所有请求都使用前缀 java: comp / env / *; 但尽管如此， 作者实现了使用自定义前缀的选项 在谱号中使用冒号。 这就是漏洞所在：如果 jndi: ldap: // 用作密钥，则请求将转到指定的 LDAP 服务器。 也可以使用其他通信协议，例如 LDAPS、DNS 和 RMI。

因此， 由攻击者控制的远程服务器可以将对象返回给易受攻击的服务器， 这可能导致系统上的任意代码执行或机密数据泄露。 攻击者所要做的就是通过将这个字符串写入日志文件的机制发送一个特殊的字符串，因此由 Log4j 库管理。

这可以通过简单的 HTTP 请求来完成，例如通过 Web 表单、数据字段等发送的请求，或者通过使用服务器端注册表的任何其他类型的交互来完成。

• 版本 2.15.0 没有解决另一个问题 CVE-2021-45046，它允许远程攻击者控制线程上下文映射 (MDC) 以使用 JNDI 搜索模式准备恶意条目。 结果可能是远程代码执行，幸运的是不是在所有环境中。
• 版本 2.16.0 修复了这个问题。 但它没有修复 CVE-2021-45105，Apache 软件基金会描述如下：

“Apache Log2.0j1 版本 2.16.0-alpha4 到 2 不能防止不受控制的自引用搜索重复。 当注册表配置使用与具有上下文查找的默认模板布局不同的模板布局（例如，$$ {ctx: loginId}）时，控制线程上下文映射 (MDC) 输入数据的攻击者可以创建登录数据。包含递归搜索的恶意条目. ，它会生成一个 StackOverflowError 来结束进程。 这也称为拒绝服务 (DOS) 攻击。

独立于供应商的漏洞赏金计划“零日倡议”对该漏洞进行了如下描述：

“当嵌套变量被 StrSubstitutor 类替换时，它会递归调用替换类 ()。 但是，当嵌套变量引用要替换的变量时，会使用相同的字符串调用递归。 这会导致无限递归和服务器上的 DoS 条件”。

另一个严重的远程代码执行错误现在被跟踪为 在同一个 Apache Log2021j 日志库中发现了 CVE-44832-4. 这是 Log4j 库中的第四个漏洞。

CVSS 评分为 6,6，严重程度为“中等”，该漏洞源于对 log4j 中的 JDNI 访问缺乏额外控制。

Apache 安全团队发布了另一个版本的 Apache Log4J （版本 2.17.1）修复了最近发现的远程代码执行错误 CVE-2021-44832。 对于大多数用户来说，这是另一个糟糕的情况，但再次强烈建议您更新系统以解决这个关键问题。

没有美国联邦机构受到损害 由于存在漏洞，Jen Easterly 在电话中告诉记者。 此外，他说，尽管许多攻击未被报告，但美国尚未报告与该漏洞相关的重大网络攻击。

Easterly 表示漏洞的程度， 影响数千万连接到互联网的设备， 这是他职业生涯中见过的最糟糕的情况。 他说，攻击者可能会等待他们的时间，等待公司和其他人在攻击之前降低防御。

“我们希望 Log4Shell 将来能用于入侵，”Easterly 说。 他指出，2017 年 Equifax 数据泄露事件导致近 150 亿美国人的个人信息受损，原因是开源软件存在漏洞。

他说，到目前为止，大多数利用该漏洞的尝试都集中在低级加密货币挖掘或试图将设备引诱到僵尸网络中。

数据来源： https://www.cnet.com