美國CISA發布”Log4j-Scanner”掃描工具以識別受 Apache Log4j漏洞影響的Web服務;美國CISA、FBI、國安局和五眼聯盟同時發布旨在減緩 Log4Shell攻擊的指南

Posted on by blogadmin

美國網路安全及基礎設施安全局(CISA)發布了一個開源的掃描工具(Scanner),企業可以使用它來查找易受Log4j漏洞CVE-2021-44228 和 CVE-2021-45046 攻擊的Web 服務,名為Log4jScanner的掃描器在Github存儲庫上,為log4j 遠端程式碼執行漏洞(CVE-2021-44228 和 CVE-2021-45046)提供了掃描解決方案,Log4j-scanner是CISA的快速行動小組和開源社區的成員衍生出來的一個項目,該存儲庫中的資訊和程式碼是“按原樣”提供的。

CISA 在log4j-scanner 的項目頁面上強調了以下功能:

*支援lists of URLs

*對 60 多個 HTTP Request Headers進行模糊測試

*對 HTTP POST 數據參數進行模糊測試

*對 JSON 數據參數進行模糊測試

*支援用於漏洞發現和驗證的 DNS callback

*繞過WAF的有效載荷

同時,網路安全和基礎設施安全局 (CISA)、聯邦調查局 (FBI)、國家安全局 (NSA)、澳洲網路安全中心 (ACSC)、加拿大網路安全中心 (CCCS)、新西蘭電腦危機處理應急小組(CERT NZ)、新西蘭國家網路安全中心 (NZ NCSC) 和英國國家網路安全中心 (NCSC-UK) 發布了聯合諮詢,以提供有關解決 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105 的Log4j漏洞緩解指南。“CISA 主任Jen Easterly聲明中說,Log4j 漏洞對世界各地的組織和政府構成了嚴重且持續的威脅;我們懇請所有實體立即採取行動,實施最新的緩解指南,以保護他們的網路。”

據了解,指南側重於保護面向 Internet 的設備和系統免受與 Log4Shell 相關的攻擊。然而, Java 在 IT 和 OT 系統中也無處不在,未分段的網路存在入侵者在系統之間橫向移動的風險。該警報警告組織將任何使用 Log4j 的產品視為可疑產品,並保留詳細的修補記錄以監控異常行為。

CISA、五眼聯盟評估對這些漏洞的利用,尤其是 Log4Shell,可能會持續增加並

維持很長一段時間,它們強烈敦促所有組織應用這些建議,以識別、減輕和更新受影響的資產。

Apache軟體基金會釋出Log4j 的2.17版為目前最新的修補,建議使用Log4j框架者立即下載更新。

有關Apache Log4j重大的漏洞 Log4Shell的更新的入侵指標(Indicator of compromise -IOCs):

Hostname:

agent.apacheorg.xyz

URLs:

http://agent.apacheorg.xyz:1234/v

http://93.189.42.8/kinsing

http://92.242.40.21/lh2.sh

http://82.118.18.201/kinsing

http://45.137.155.55/kinsing2

http://45.137.155.55/kinsing

http://80.71.158.44/kinsing

http://198.98.60.67/lh.sh

http://185.250.148.157:8005/index

SHA 256:

f2e3f685256e5f31b05fc9f9ca470f527d7fdae28fa3190c8eba179473e20789

f059246cea87a886acb1938809cf4a1152247a5b5a2df0b1bf64c46a0daccbcc

e9744244461056c64fc390591729c035f3a375bc8ecfa1a0c111defa055c1273

e8b2a8d0c3444c53f143d0b4ba87c23dd1b58b03fd0a6b1bcd6e8358e57807f1

e7c5b3de93a3184dc99c98c7f45e6ff5f6881b15d4a56c144e2e53e96dcc0e82

bd5006ba4e4cfcf8a8b0b6da5bb30f4dd8a78beb351b814431ae8599dcf23f1b

bcfdddb033fb1fa9c73e222919ecd4be071e87b0c54825af516b4f336bc47fa2

95ac2e2cd2caf30829a9588988601067a98f9bb02e0776a8ef2b813f9b4d8992

8933820cf2769f6e7f1a711e188f551c3d5d3843c52167a34ab8d6eabb0a63ef

86fc70d24f79a34c46ef66112ef4756639fcad2f2d7288e0eeb0448ffab90428

86fc70d24f79a34c46ef66112ef4756639fcad2f2d7288e0eeb0448ffab90428

7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512

SHA1:

f568eb59fd37b2fe37db730292594d875d3a11e8

c927738922b87802cc75697dd99dd8c7d8cfdf1e

b21aa1107ecc79f4ad29f68a026a02e2abc952ef

9edd5d86fbb0236625c1c533e85d2fe76901979f

8d692f73e5b6c3309568a3f488a93f8685c6661a

8611063eefa5cc2bbec29870fb56779192eed454

82d984fcbf4f8bc8ffbad29e3f3cc4cfac70d8d4

其他相關Log4j的報導:

專家警告說,駭客火力全開積極利用第二個Log4j的漏洞,然而第三個漏洞也出現了!
駭客利用 Apache Log4j 中的重大風險漏洞來植入勒索軟體、Web Shell 和後門, CISA下令聯邦機構在平安夜前完成修補受Log4Shell漏洞影響的系統
日誌框架Log4j被曝核彈級漏洞,已出現攻擊行動,波及範圍廣泛,需儘速採取緩解措施