補丁摞補丁?Log4Shell漏洞補丁爆出漏洞
讓全球企業安全人員陷入集體恐慌的Apache Log4j日志庫高危漏洞(Log4Shell)又傳出了恐怖的消息:Apache為Log4Shell提供的快速補丁也有漏洞,可導致DoS攻擊。
上周四,安全研究人員開始警告稱,Apache Log4j中一個被跟蹤為CVE-2021-44228的遠程代碼執行漏洞(Log4Shell)正在受到主動攻擊,據許多報道稱,它有可能破壞全球互聯網。
隨著上周五漏洞PoC的發布,全球攻擊者蜂擁而至對Log4Shell發起猛攻,最初是通過操縱日志消息(包括鍵入聊天消息的文本)在運行Java版Minecraft的服務器或客戶端上釋放惡意代碼。然后攻擊者開始升級攻擊手段,在一天之內產生了60個以上的原始漏洞利用的變種,已繞過現有緩解措施。
值得稱贊的是,Apache上周五火速發布了一個補丁來修復Log4j2.15.0版本的Log4Shell漏洞。但不幸的是,現在研究人員發現,根據Apache.org的安全公告,此修復“在某些非默認配置中是不完整的”,并為某些情況下的拒絕服務(DoS)攻擊鋪平了道路。
補丁引入的新漏洞編號為CVE-2021-45046,可能允許攻擊者控制線程上下文映射(MDC)輸入數據,在某些情況下使用Java命名和目錄接口(JNDI)查找模式制作惡意輸入數據,從而導致DoS攻擊。
漏洞利用的前提是日志配置使用帶有上下文查找(例如,$${ctx:loginId})或線程上下文映射模式(%X、%mdc或%MDC)的非默認Pattern Layout。
“默認情況下,Log4j 2.15.0將JNDI LDAP查找限制為本地主機,”據Apache.org稱:“請注意,以前涉及配置的緩解措施,例如將系統屬性'log4j2.noFormatMsgLookup'設置為'true',并不能緩解此特定漏洞。”
補丁的補丁
根據該公告,新發布的Log4j版本2.16.0通過刪除對消息查找模式的支持和默認禁用JNDI功能來解決該問題。Apache.org建議,為了緩解之前Log4j版本中的錯誤,開發人員可以從類路徑中刪除JndiLookup類。
一位安全專家指出,Apache匆忙發布了針對Log4Shell的補丁,結果引入了新的漏洞。
Netenrich的首席威脅獵手John Bambenek周二表示:“通常急于修補漏洞意味著修復可能不完整,就像目前情況一樣。”他說問題的解決方案應該是“完全禁用JNDI功能”。
由于已知至少有十幾個黑客團體正在利用這些漏洞,因此他敦促立即采取行動來修補、從Log4j中刪除JNDI或將其從類路徑中刪除——“最好是以上所有,”Bambenek說。
掌握局面
另一位安全專家指出,研究人員和安全專家仍在思考Log4Shell廣泛而深遠的影響,以及發現更多相關的漏洞利用潛力。
“當Log4Shell這樣的重磅漏洞曝光時,通常意味著在同一個軟件還會存在其他漏洞(需要補丁),這將觸發更多的漏洞研究和發現,”Bugcrowd創始人兼首席技術官Casey Ellis指出。
事實上,RiskBased Security的研究人員在周二發表的一篇博客文章中寫道,鋪天蓋地的漏洞報道,已經使得人們對當前到底存在多少與Log4Shell相關的漏洞,以及它們如何相互關聯,感到困擾。
此時,目前已經發布了三個與Log4Shell相關的CVE:
- CVE-2021-44228,即最初的零日漏洞;
- CVE-2021-45046,“不完善的修復”;
- CVE-2021-4104,Log4j另外一個組件中發現的漏洞(JMSAppender),目前看不嚴重。
對于CVE-2021-44228,研究人員認為這根本不是一個新問題,“實際上是相同的漏洞”。
研究人員寫道:“MITRE和CVE編號機構(CNA)將在修復不完善的補丁時分配第二個CVE ID。”“這有助于一些組織跟蹤問題,同時也給其他組織帶來了困擾。”
根據RiskBased Security的說法,盡管存在多個CVE,“一些地方一直將它們視為同一個問題,但事實并非如此”。
在變得更好之前會一直更糟
根據RiskBased Security的說法,Log4Shell漏洞修復的戲劇性事件表明,由于該漏洞的攻擊面如此巨大,因此存在被廣泛和進一步利用的巨大潛力。
“重要的是要指出Log4j是Java中一種流行的日志框架,”研究人員在帖子中寫道。“這意味著它應用范圍極廣。”
事實上,一長串IT供應商的產品容易受到Log4Shell的攻擊,包括但不限于:Broadcom、Cisco、Elasticsearch、F-secure、Fedora、HP、IBM、Microsoft、美國國家安全局(NSA)、RedHat、SonicWall和VMWare。
在公開披露該漏洞的幾個小時內,攻擊者就開始掃描易受攻擊的服務器并發動攻擊以投放挖礦軟件、Cobalt Strike惡意軟件、新的Khonsari勒索軟件、Orcus遠程訪問木馬(RAT)、Mirai等僵尸網絡、為未來攻擊準備的逆向bash shell以及后門程序。
無論未來會發生什么,隨著原始漏洞利用的變體繼續產生并且攻擊者繼續蜂擁而至,情況在好轉之前可能會變得更糟。這意味著很長一段時間內圍繞Log4Shell的利用與修復將不會消停。
“這個新的Log4j漏洞可能會在未來幾年困擾我們,”RiskBased Security表示。
Apache安全咨文:
https://lists.apache.org/thread/83y7dx5xvn3h5290q1twn16tltolv88f
(來源:@GoUpSec)
