據ZDNet12月24日報道,CISA本周發布了自己的Log4J掃描器,同時發布的還有網絡安全公司和研究人員發布的其他掃描器。
開源的Log4j掃描器是由開源社區其他成員創建的掃描器派生而來的,其設計目的是幫助組織識別受Log4j漏洞影響的潛在脆弱Web服務。
圖片來自:google
該協會表示,他們修改了由安全公司FullHunt開發的Log4J掃描器,并得到了菲利普·克勞斯(Philipp Klaus)和莫里茨·貝勒(Moritz Bechler)等其他研究人員的幫助。
存儲庫為CVE-2021-44228和CVE-2021-45046提供了掃描解決方案。 CISA表示,它支持DNS回調,以發現和驗證漏洞,同時為HTTP POST數據參數、JSON數據參數提供fuing,并支持URL列表。
CrowdStrike也發布了自己的免費Log4J掃描器,名為CrowdStrike存檔掃描工具(CAST)。
Rezilion的漏洞研究負責人Yotam Perkal對一些Log4J掃描器進行了測試,發現許多掃描器無法找到漏洞的所有實例。
“最大的挑戰在于在生產環境的打包軟件中檢測Log4Shell: JAVA文件(比如Log4j)可以嵌套到其他文件的幾個層次深處——這意味著淺層搜索不會找到它,”Perkal說。 “此外,它們可能被打包成許多不同的格式,這給在其他Java包中挖掘它們帶來了真正的挑戰。”
Rezilion針對打包的Java文件數據集測試了開發人員和IT團隊最常用的9個掃描器,在打包的Java文件數據集中,Log4j被嵌套并以各種格式打包。
Perkal說,雖然有些掃描器比其他掃描器做得更好,但沒有一個能檢測到所有的格式。 根據Perkal的說法,這項研究說明了“靜態掃描在檢測Log4j實例方面的局限性”。
“它也提醒我們,檢測能力取決于你的檢測方法。 掃描器有盲點,”Perkal解釋道。
“網絡安全主管不能盲目地認為各種開源甚至商業級工具能夠檢測到所有的邊緣情況。 以Log4j為例,在很多地方都有很多邊緣實例。”
(編譯:涂利慧)
