补丁摞补丁?Log4Shell漏洞补丁爆出漏洞
让全球企业安全人员陷入集体恐慌的Apache Log4j日志库高危漏洞(Log4Shell)又传出了恐怖的消息:Apache为Log4Shell提供的快速补丁也有漏洞,可导致DoS攻击。
上周四,安全研究人员开始警告称,Apache Log4j中一个被跟踪为CVE-2021-44228的远程代码执行漏洞(Log4Shell)正在受到主动攻击,据许多报道称,它有可能破坏全球互联网。
随着上周五漏洞PoC的发布,全球攻击者蜂拥而至对Log4Shell发起猛攻,最初是通过操纵日志消息(包括键入聊天消息的文本)在运行Java版Minecraft的服务器或客户端上释放恶意代码。然后攻击者开始升级攻击手段,在一天之内产生了60个以上的原始漏洞利用的变种,已绕过现有缓解措施。
值得称赞的是,Apache上周五火速发布了一个补丁来修复Log4j2.15.0版本的Log4Shell漏洞。但不幸的是,现在研究人员发现,根据Apache.org的安全公告,此修复“在某些非默认配置中是不完整的”,并为某些情况下的拒绝服务(DoS)攻击铺平了道路。
补丁引入的新漏洞编号为CVE-2021-45046,可能允许攻击者控制线程上下文映射(MDC)输入数据,在某些情况下使用Java命名和目录接口(JNDI)查找模式制作恶意输入数据,从而导致DoS攻击。
漏洞利用的前提是日志配置使用带有上下文查找(例如,$${ctx:loginId})或线程上下文映射模式(%X、%mdc或%MDC)的非默认Pattern Layout。
“默认情况下,Log4j 2.15.0将JNDI LDAP查找限制为本地主机,”据Apache.org称:“请注意,以前涉及配置的缓解措施,例如将系统属性’log4j2.noFormatMsgLookup’设置为’true’,并不能缓解此特定漏洞。”
补丁的补丁
根据该公告,新发布的Log4j版本2.16.0通过删除对消息查找模式的支持和默认禁用JNDI功能来解决该问题。Apache.org建议,为了缓解之前Log4j版本中的错误,开发人员可以从类路径中删除JndiLookup类。
一位安全专家指出,Apache匆忙发布了针对Log4Shell的补丁,结果引入了新的漏洞。
Netenrich的首席威胁猎手John Bambenek周二表示:“通常急于修补漏洞意味着修复可能不完整,就像目前情况一样。”他说问题的解决方案应该是“完全禁用JNDI功能”。
由于已知至少有十几个黑客团体正在利用这些漏洞,因此他敦促立即采取行动来修补、从Log4j中删除JNDI或将其从类路径中删除——“最好是以上所有,”Bambenek说。
掌握局面
另一位安全专家指出,研究人员和安全专家仍在思考Log4Shell广泛而深远的影响,以及发现更多相关的漏洞利用潜力。
“当Log4Shell这样的重磅漏洞曝光时,通常意味着在同一个软件还会存在其他漏洞(需要补丁),这将触发更多的漏洞研究和发现,”Bugcrowd创始人兼首席技术官Casey Ellis指出。
事实上,RiskBased Security的研究人员在周二发表的一篇博客文章中写道,铺天盖地的漏洞报道,已经使得人们对当前到底存在多少与Log4Shell相关的漏洞,以及它们如何相互关联,感到困扰。
此时,目前已经发布了三个与Log4Shell相关的CVE:
- CVE-2021-44228,即最初的零日漏洞;
- CVE-2021-45046,“不完善的修复”;
- CVE-2021-4104,Log4j另外一个组件中发现的漏洞(JMSAppender),目前看不严重。
对于CVE-2021-44228,研究人员认为这根本不是一个新问题,“实际上是相同的漏洞”。
研究人员写道:“MITRE和CVE编号机构(CNA)将在修复不完善的补丁时分配第二个CVE ID。”“这有助于一些组织跟踪问题,同时也给其他组织带来了困扰。”
根据RiskBased Security的说法,尽管存在多个CVE,“一些地方一直将它们视为同一个问题,但事实并非如此”。
在变得更好之前会一直更糟
根据RiskBased Security的说法,Log4Shell漏洞修复的戏剧性事件表明,由于该漏洞的攻击面如此巨大,因此存在被广泛和进一步利用的巨大潜力。
“重要的是要指出Log4j是Java中一种流行的日志框架,”研究人员在帖子中写道。“这意味着它应用范围极广。”
事实上,一长串IT供应商的产品容易受到Log4Shell的攻击,包括但不限于:Broadcom、Cisco、Elasticsearch、F-secure、Fedora、HP、IBM、Microsoft、美国国家安全局(NSA)、RedHat、SonicWall和VMWare。
在公开披露该漏洞的几个小时内,攻击者就开始扫描易受攻击的服务器并发动攻击以投放挖矿软件、Cobalt Strike恶意软件、新的Khonsari勒索软件、Orcus远程访问木马(RAT)、Mirai等僵尸网络、为未来攻击准备的逆向bash shell以及后门程序。
无论未来会发生什么,随着原始漏洞利用的变体继续产生并且攻击者继续蜂拥而至,情况在好转之前可能会变得更糟。这意味着很长一段时间内围绕Log4Shell的利用与修复将不会消停。
“这个新的Log4j漏洞可能会在未来几年困扰我们,”RiskBased Security表示。
Apache安全咨文:
https://lists.apache.org/thread/83y7dx5xvn3h5290q1twn16tltolv88f