在一項測試中,Blumira研究人員使用JNDI開採套件,即可在包含SpringFramework框架的本地Java應用程式(版本為Log4j 2.13)引發RCE。研究人員另外也展示了利用WebSocket掃瞄開放傳輸埠,以及執行任意程式。不過目前他們尚未發現開採這漏洞的情形。(PoC示意圖,圖片來源/Blumira)
12/29資訊更新 Log4j再傳RCE漏洞,Apache釋出2.17.1新版
公開兩周的Apache Log4j漏洞,讓全球伺服器管理員疲於奔命忙著修補漏洞及更新軟體。一項研究發現,本漏洞也可能讓包含這項軟體元件的終端機器、或本地主機被遠端執行程式碼。
這是安全廠商Blumira在Log4j軟體的CVE-2021-44228漏洞發現的另一個攻擊管道。原本該漏洞出在Log4j的JNDI API未能驗證由遠端LDAP、或其他端點發送修改過參數的log訊息,讓遠端攻擊者可從LDAP伺服器下載惡意程式碼至受害伺服器執行。這種情況下,主要是執行Jog4j的對外伺服器曝險。
但Blumira團隊發現,攻擊者也可以使用Javascript WebSocket連線來觸發這漏洞,以便在用戶機器上遠端執行程式碼。WebSocket是現代瀏覽器都支援的協定,可用於許多種任務,像是從網站傳送通訊訊息或警示到瀏覽器,讓瀏覽器能快速回覆訊息。
但研究人員指出,WebSocket並不像一般跨域的HTTP請求,受同源政策(same-origin policy)規範,而是需伺服器本身自行驗證呼叫來源。這就可能引發跨網域攻擊,由惡意網站呼叫另一網站的服務。這缺點曾被用在以WebSocket連線傳送惡意呼叫到線纜數據機,或是今天的主角:本地主機。此類攻擊手法也可用來掃瞄本地主機開放的傳輸埠。
用戶端本身一般並不能直接控管WebSocket連線,後者是在網頁下載時悄悄啟動。更糟的是,用戶主機內的WebSocket連線可能很難看到連線內容,使得此類攻擊的偵測更加困難。
這項研究無疑擴大了Log4Shell漏洞的攻擊表面,即使主機並未對外部網路開放。研究人員表示,這使得用戶機器或內部本地網路也可能遭到攻擊,只要機器上安裝了有漏洞的Log4j應用程式。
在一項測試中,Blumira研究人員使用JNDI開採套件,即可在包含SpringFramework框架的本地Java應用程式(版本為Log4j 2.13)引發RCE。研究人員另外也展示了利用WebSocket掃瞄開放傳輸埠,以及執行任意程式。不過目前他們尚未發現開採這漏洞的情形。
圖片來源_Blumira
安裝最新的Apache Log4j 2.17.0版可以修補這個漏洞,研究人員也呼籲用戶儘速更新。周末釋出的2.17.0版旨在修補原始中的Log4Shell及RCE漏洞CVE-2021-45046、以及2.16.0版本中新發現的阻斷服務(DoS)漏洞CVE-2021-45105。
12/27相關報導 Nvidia、HPE、IBM公布受Log4j漏洞影響的產品
12/20相關報導 Apache Log4j再釋出2.17版,修補DoS漏洞
熱門新聞
2024-04-17
2024-04-17
2024-04-18
2024-04-15
2024-04-15
2024-04-15