CISA已發布Apache Log4j漏洞掃描器

中關村在線消息，在Log4shell漏洞曝光之后，美國網絡安全與基礎設施局（CISA）一直在密切關注事態發展。除了敦促聯邦機構在圣誕假期之前完成修補，國防部下屬的該機構還發起了#HackDHS漏洞賞金計劃。最新消息是，CISA 又推出了一款名叫log4j-scanner的漏洞掃描器，以幫助各機構篩查易受攻擊的web服務。

據悉，作為CISA快速行動小組與開源社區團隊的一個衍生項目，log4j-scanner能夠對易受兩個Apache遠程代碼執行漏洞影響的Web服務進行識別（分別是CVE-2021-44228和CVE-2021-45046)。

這套掃描解決方案建立在類似的工具之上，包括由網絡安全公司FullHunt開發的針對CVE-2021-44228漏洞的自動掃描框架。有需要的安全團隊，可借助該工具對網絡主機進行掃描，以查找Log4j RCE暴露和讓Web應用程序繞過防火墻（WAF）的潛在威脅。

目前該項目在Github已經獲得了814星標。