应对Apache Log4j重大风险漏洞,美国网络安全暨基础架构管理局(CISA)昨日发布扫描工具,方便企业或政府IT人员扫描自家软件。
名为Log4j Scanner的工具已发布在GitHub上,是由开源社群其他成员开发,旨在协助企业组织识别可能受Log4j漏洞影响的Web服务。这个存储库可扫描CVE-2021-44228(Log4Shell)及CVE-2021-45046,两者皆为远程程序代码执行漏洞,CVSS 3.1风险值各为10.0及9.0。
美国政府机构CISA、FBI、国安局(NSA),以及五眼联盟成员澳洲、新西兰、加拿大及英国网络安全主管机关昨(22)日发布联合安全公告,针对Log4j三项漏洞包括CVE-2021-44228(Log4Shell)、CVE-2021-45046及CVE-2021-45105(DoS)提供缓解指引。公告指出,手法高明的网络威胁行动者已经积极扫描网络以伺机开采。目前CVE-2021-44228和CVE-2021-45046已经有积极开采的行为。
五眼联盟国的安全指引建议企业及政府单位先找出受Log4j多项漏洞影响的软件产品,更新Log4j及受影响的软件版本,再启动寻找及部署事件回应措施来侦测是否有被开采的情形。
Apache软件基金会已经发布Log4j最新版本2.17.0。
各国政府对Log4j多项漏洞抱持高度警戒,尤其本周比利时国防部坦承遭不明人士开采网络系统漏洞,致部分系统中断服务数天。
CISA上周发布紧急指令,要求美国联邦行政部门在12月23日前,缓解对外联网系统的相关漏洞。
CISA昨日对美国媒体指出,尚没有证实对联邦政府机关的成功入侵。
12/22相关报道1.7万个Maven Java组件受Log4j漏洞影响
12/21相关报道WebSocket成Log4j漏洞攻击新渠道,连不对外网络主机也曝险
Log4j相关修补时间轴Apache Log4j日志框架系统重大漏洞