CISA在GitHub平臺釋出Apache Log4j漏洞掃瞄工具Log4j Scanner。(github.com/cisagov/log4j-scanner)

 12/29資訊更新  Log4j再傳RCE漏洞,Apache釋出2.17.1新版

因應Apache Log4j重大風險漏洞,美國網路安全暨基礎架構管理署(CISA)昨日釋出掃瞄工具,方便企業或政府IT人員掃瞄自家軟體。

名為Log4j Scanner的工具已發布在GitHub上,是由開源社群其他成員開發,旨在協助企業組織辨識可能受Log4j漏洞影響的Web服務。這個儲存庫可掃瞄CVE-2021-44228(Log4Shell)及CVE-2021-45046,兩者皆為遠端程式碼執行漏洞,CVSS 3.1風險值各為10.0及9.0。

美國政府機構CISA、FBI、國安局(NSA),以及五眼聯盟成員澳洲、紐西蘭、加拿大及英國網路安全主管機關昨(22)日發布聯合安全公告,針對Log4j三項漏洞包括CVE-2021-44228 (Log4Shell)、CVE-2021-45046及CVE-2021-45105(DoS)提供緩解指引。公告指出,手法高明的網路威脅行動者已經積極掃瞄網路以伺機開採。目前CVE-2021-44228 和CVE-2021-45046已經有積極開採的行為。

五眼聯盟國的安全指引建議企業及政府單位先找出受Log4j 多項漏洞影響的軟體產品,更新Log4j及受影響的軟體版本,再啟動尋找及部署事件回應措施來偵測是否有被開採的情形。

Apache軟體基金會已經釋出Log4j最新版本2.17.0

各國政府對Log4j多項漏洞抱持高度警戒,尤其本周比利時國防部坦承遭不明人士開採網路系統漏洞,致部份系統中斷服務數天。

CISA上周發布緊急指令,要求美國聯邦行政部門在12月23日前,緩解對外連網系統的相關漏洞。

CISA昨日對美國媒體指出,尚未有證實對聯邦政府機關的成功入侵。

 相關報導 

 12/27相關報導  Nvidia、HPE、IBM公布受Log4j漏洞影響的產品

 12/22相關報導  1.7萬個Maven Java套件受Log4j漏洞影響

 12/21相關報導  WebSocket成Log4j漏洞攻擊新管道,連不對外網路主機也曝險

 Log4j相關修補時間軸  Apache Log4j日誌框架系統重大漏洞

熱門新聞

Advertisement