据ZDNet12月24日报道,CISA本周发布了自己的Log4J扫描器,同时发布的还有网络安全公司和研究人员发布的其他扫描器 。
开源的Log4j扫描器是由开源社区其他成员创建的扫描器派生而来的,其设计目的是帮助组织识别受Log4j漏洞影响的潜在脆弱Web服务 。
文章插图
图片来自:google
该协会表示,他们修改了由安全公司FullHunt开发的Log4J扫描器,并得到了菲利普·克劳斯(Philipp Klaus)和莫里茨·贝勒(Moritz Bechler)等其他研究人员的帮助 。
存储库为CVE-2021-44228和CVE-2021-45046提供了扫描解决方案 。CISA表示,它支持DNS回调,以发现和验证漏洞,同时为HTTP POST数据参数、JSON数据参数提供fuing,并支持URL列表 。
CrowdStrike也发布了自己的免费Log4J扫描器,名为CrowdStrike存档扫描工具(CAST) 。
Rezilion的漏洞研究负责人Yotam Perkal对一些Log4J扫描器进行了测试,发现许多扫描器无法找到漏洞的所有实例 。
“最大的挑战在于在生产环境的打包软件中检测Log4Shell: JAVA文件(比如Log4j)可以嵌套到其他文件的几个层次深处——这意味着浅层搜索不会找到它,”Perkal说 。“此外,它们可能被打包成许多不同的格式,这给在其他Java包中挖掘它们带来了真正的挑战 。”
Rezilion针对打包的Java文件数据集测试了开发人员和IT团队最常用的9个扫描器,在打包的Java文件数据集中,Log4j被嵌套并以各种格式打包 。
Perkal说,虽然有些扫描器比其他扫描器做得更好,但没有一个能检测到所有的格式 。根据Perkal的说法,这项研究说明了“静态扫描在检测Log4j实例方面的局限性” 。
“它也提醒我们,检测能力取决于你的检测方法 。扫描器有盲点,”Perkal解释道 。
【CISA 美国网络安全和基础设施安全局 和CrowdStrike发布多个 Log4j 扫描器但没有一个能检测到所有的格式】“网络安全主管不能盲目地认为各种开源甚至商业级工具能够检测到所有的边缘情况 。以Log4j为例,在很多地方都有很多边缘实例 。”
(编译:涂利慧)
推荐阅读
![[德斯]82284.6欧元起售 新款梅赛德斯-AMG E级开启预定](https://k-static.6789.com/uploads/auto-pic/202007/07/1594089939_69902300.jpg)
- 德勤2021网络安全前瞻调研报告:网络安全,为未来赋能您的员工
- 白帽黑客之DOS基础
- 美国的白宫位于哪个城市?
- 美国强根胶囊盒多少钱,洋甘菊补水面膜多少钱
- 宽带|美国运营商展示万兆宽带:实测下载速度可达8Gbps 上行5Gbps
- 美国|美国公布9名不明肝炎儿童详情:没感染过新冠 可能与腺病毒有关
- 获得网络安全工作所需的 5 种编程语言
- 米国内裤是啥?
- Windows 11上运行安卓程序终极指南,没有美国账户也可以体验
- 美国感恩节的历史渊源介绍