在一項測試中,Blumira研究人員使用JNDI開採套件,即可在包含SpringFramework框架的本地Java應用程式(版本為Log4j 2.13)引發RCE。研究人員另外也展示了利用WebSocket掃瞄開放傳輸埠,以及執行任意程式。不過目前他們尚未發現開採這漏洞的情形。(PoC示意圖,圖片來源/Blumira)

 12/29資訊更新  Log4j再傳RCE漏洞,Apache釋出2.17.1新版

 12/23資訊更新  CISA釋出掃瞄Log4j漏洞工具

公開兩周的Apache Log4j漏洞,讓全球伺服器管理員疲於奔命忙著修補漏洞及更新軟體。一項研究發現,本漏洞也可能讓包含這項軟體元件的終端機器、或本地主機被遠端執行程式碼。

這是安全廠商Blumira在Log4j軟體的CVE-2021-44228漏洞發現的另一個攻擊管道。原本該漏洞出在Log4j的JNDI API未能驗證由遠端LDAP、或其他端點發送修改過參數的log訊息,讓遠端攻擊者可從LDAP伺服器下載惡意程式碼至受害伺服器執行。這種情況下,主要是執行Jog4j的對外伺服器曝險。

但Blumira團隊發現,攻擊者也可以使用Javascript WebSocket連線來觸發這漏洞,以便在用戶機器上遠端執行程式碼。WebSocket是現代瀏覽器都支援的協定,可用於許多種任務,像是從網站傳送通訊訊息或警示到瀏覽器,讓瀏覽器能快速回覆訊息。

但研究人員指出,WebSocket並不像一般跨域的HTTP請求,受同源政策(same-origin policy)規範,而是需伺服器本身自行驗證呼叫來源。這就可能引發跨網域攻擊,由惡意網站呼叫另一網站的服務。這缺點曾被用在以WebSocket連線傳送惡意呼叫到線纜數據機,或是今天的主角:本地主機。此類攻擊手法也可用來掃瞄本地主機開放的傳輸埠。

用戶端本身一般並不能直接控管WebSocket連線,後者是在網頁下載時悄悄啟動。更糟的是,用戶主機內的WebSocket連線可能很難看到連線內容,使得此類攻擊的偵測更加困難。

這項研究無疑擴大了Log4Shell漏洞的攻擊表面,即使主機並未對外部網路開放。研究人員表示,這使得用戶機器或內部本地網路也可能遭到攻擊,只要機器上安裝了有漏洞的Log4j應用程式。

在一項測試中,Blumira研究人員使用JNDI開採套件,即可在包含SpringFramework框架的本地Java應用程式(版本為Log4j 2.13)引發RCE。研究人員另外也展示了利用WebSocket掃瞄開放傳輸埠,以及執行任意程式。不過目前他們尚未發現開採這漏洞的情形。

圖片來源_Blumira

安裝最新的Apache Log4j 2.17.0版可以修補這個漏洞,研究人員也呼籲用戶儘速更新。周末釋出的2.17.0版旨在修補原始中的Log4Shell及RCE漏洞CVE-2021-45046、以及2.16.0版本中新發現的阻斷服務(DoS)漏洞CVE-2021-45105。

 相關報導 

 12/27相關報導  Nvidia、HPE、IBM公布受Log4j漏洞影響的產品

 12/20相關報導  Apache Log4j再釋出2.17版,修補DoS漏洞

 12/16相關報導  Log4j 2.15.0修補不全、Apache再釋2.16.0新版

 Log4j相關修補時間軸  Apache Log4j日誌框架系統重大漏洞

熱門新聞

Advertisement