Несколько экспертов по кибербезопасности выпустили бесплатные сканеры, которые помогут организациям находить уязвимые экземпляры Log4j.
Например, Агентство кибербезопасности и безопасности инфраструктуры (CISA) опубликовало на GitHub сканер Log4j, основанный на более ранней версии, созданной охранной компанией FullHunt.
CISA заявила, что этот инструмент ищет две уязвимости, CVE-2021-44228 и CVE-2021-45046, и поддерживает обратный вызов DNS для обнаружения и проверки уязвимостей. Он также обеспечивает автоматическое обнаружение ошибок для параметров данных HTTP POST, а также параметров данных JSON.
Эксперты по кибербезопасности Crowdstrike также запустили аналогичный сканер под названием CAST.
Сканеры неисправны
Однако исследователи предупредили, что ни один из этих инструментов не идеален и может в конечном итоге пропустить пару уязвимостей.
Йотам Перкаль, руководитель исследовательского отдела охранной фирмы Rezilion, проанализировал эти инструменты и опубликовал результаты в своем блоге. По словам Перкаля, многие сканеры пропустили определенные версии уязвимости.
«Самая большая проблема — обнаружение Log4Shell в программном обеспечении, упакованном в производственных средах: файлы Java (например, Log4j) могут быть вложены в несколько слоев в другие файлы, а это означает, что беглый поиск файла его не найдет», — пишет Перкал. «Кроме того, они могут быть упакованы во множество различных форматов, что создает реальную проблему для изучения других пакетов Java».
Perkal протестировал в общей сложности девять сканеров, и хотя некоторые из них работали лучше других, ни один не смог выявить все уязвимые реализации Log4j.
«Это также напоминает нам, что возможности обнаружения настолько хороши, насколько хорош их метод обнаружения. У сканеров есть «слепые зоны», — заключил Перкал. «Сотрудники службы безопасности не могут слепо предполагать, что различные инструменты с открытым исходным кодом или даже коммерческие инструменты смогут обнаружить все крайние случаи. А в случае с Log4j во многих местах существует множество пограничных экземпляров. "
Журнал4Shell
Log4j — это средство ведения журнала Java, в котором недавно была обнаружена критическая ошибка, которая может позволить злоумышленникам (даже тем, у кого очень низкие навыки) выполнять произвольный код на миллионах конечных точек и удалять вредоносные программы, программы-вымогатели и криптомайнеры.
Дальнейшее расследование показало, что Log4Shell, как известно, является одной из самых серьезных уязвимостей безопасности в новейшей истории. Джен Истерли, директор CISA, назвала это «одним из самых серьезных», которые она видела за всю свою карьеру, «если не самым серьезным».
На данный момент Apache выпустил как минимум три исправления для Log4j с момента обнаружения уязвимости, и пользователям рекомендуется немедленно обновить его.
Через ZDNet