周五，Apache官方發布了一個2.17版補丁，也是針對log4j日志庫的一個漏洞進行修補，而這次是針對一個關于DoS的漏洞。

這是log4j的第三個補丁。這個最新的漏洞并不是Log4Shell遠程代碼執行(RCE)漏洞的變種，該漏洞自12月10日出現以來就一直困擾著IT團隊，在其公開披露后的幾個小時后就在全球范圍內受到了大量的攻擊，催生了更多惡劣的變種，并導致Apache在最初發布的補丁中出現拒絕服務(DoS)。

不過，它們確實有相似之處。這個新的漏洞影響到了與Log4Shell漏洞相同的組件。Log4Shell被追蹤為CVE-2021-44228(嚴重性評級為CVSS 10.0)，而新的漏洞被追蹤為CVE-2021-45105(CVSS評分：7.5)，都是攻擊者濫用日志數據查找進行攻擊。

不同的是，CVE-2021-45105這個漏洞中的查找是Context Map查找，而不是對LDAP服務器的Java命名和目錄接口(JNDI)查找，這使得攻擊者可以執行Log4Shell漏洞中返回的任何代碼。

ContextMapLookup允許應用程序在Log4j ThreadContext Map中存儲數據，然后在Log4j配置中檢索這些值。例如，一個應用程序可以在ThreadContext Map中以"loginId "為鍵存儲當前用戶的登錄ID。

這個漏洞與不恰當的輸入驗證和不受控制的遞歸有關，這可能會導致DoS攻擊。

正如趨勢科技研究小組所解釋的，Apache Log4j API支持變量替換。然而，由于它的不受控制的遞歸替換，一個精心設計的惡意變量就可能會導致應用程序崩潰。對查找命令有控制權的攻擊者(如通過線程上下文映射)可以制作一個惡意的查找變量，從而導致拒絕服務(DoS)攻擊。

這個新的漏洞影響了從2.0-beta9到2.16的所有版本的工具。Apache上周發布了2.16版本，來修補其中的第二個漏洞。第二個漏洞則是RCE漏洞CVE-2021-45046，這是由于Apache對CVE-2021-44228(又稱Log4Shell漏洞)的修復不完整造成的。

研究人員繼續說道，當一個嵌套變量被StrSubstitutor類替代時，它會遞歸地調用substitutor()類。然而，當嵌套變量引用被替換的變量時，遞歸調用的是同一個字符串。這導致了無限的遞歸和服務器上的DoS攻擊。舉例來說，如果Pattern Layout包含${ctx.apiversion}的Context Lookup，其分配值為${ctx.apiversion}}，則該變量將被遞歸地替換為自身。

他說，該漏洞已在Log4j 2.16及以下版本上測試并確認。

Apache現在已經公布了解決方案，但ZDI建議升級到最新版本，確保該漏洞得到了徹底修復。

隨著漏洞的不斷涌現，新的漏洞的大量利用，以及對應補丁的出現，SAP等巨頭技術公司一直在不停的修復日志庫，并發布產品補丁。

CISA規定要立即修補漏洞

周四，美國網絡安全和基礎設施安全局(CISA)發布緊急指令，要求聯邦民事部門和機構在12月23日星期四之前立即為其面向互聯網的系統修補Log4j漏洞。

該庫的漏洞所帶來的風險是巨大的，因為很多威脅者已經開始對含有漏洞的系統進行了攻擊。正如CPR上周強調的那樣，目前已經發現的攻擊就包括了一個在五個國家進行挖礦的團伙。

上周，微軟報告說，Phosphorus(伊朗)以及其他來自朝鮮和土耳其的不知名的APTs組織，正在大量利用Log4Shell進行有針對性的攻擊。Phosphorus，又名Charming Kitten、APT35、Ajax Security Team、NewsBeef和Newscaster，因在2020年對全球峰會和會議進行攻擊而被人所熟知。

CPR表示，截至周三，Charming Kitten已經攻擊了以色列國家七個目標。

Conti勒索軟件團伙是攻擊者之一

Conti勒索軟件團伙也參與到了其中。AdvIntel的研究人員上周說，他們看到Conti正在對VMware vCenter進行攻擊。

研究人員上周說，目前該漏洞已經導致了多個相似的案例，Conti集團通過這些案件測試了利用Log4j 2漏洞的可能性。犯罪分子針對特定的含有漏洞的Log4j 2 VMware vCenter 服務器進行攻擊，直接在被攻擊的網絡內部進行橫向移動，從而導致美國和歐洲的網絡被大量攻擊。

上周，一些人懷疑可能是由于Conti團伙的勒索軟件攻擊，迫使一家家庭經營的連鎖餐廳、酒店和啤酒廠麥克曼紐斯關閉了一些業務。

這些漏洞還被各種僵尸網絡、遠程訪問木馬(RATs)、初始訪問經紀人和一種名為Khonsari的新勒索軟件所利用。截至周一，CPR表示，它已經發現超過430萬次嘗試性利用攻擊，其中超過46%是由目前已知的惡意團體進行的。

不眠之夜

趨勢科技的Lederfein指出，log4j組件已經運行了很長時間，自從10天前Log4Shell漏洞被曝光以來，就已經獲得了相當多的關注。他預測說，預計未來可能會有更多相同的情況。

Shared Assessments的安全專家表示很贊同。他指出，這個漏洞讓很多安全專家夜不能寐。這個Javageddon甚至已經滲透到了C-suite。

他通過電子郵件說："企業高管和董事會成員也對這個漏洞如何影響他們公司的安全有很大的興趣。整個互聯網上都在使用Log4j，這可能會影響多個應用程序和系統。"

安全專家建議說："你現在可以采取的最好辦法是時刻注意觀察解決這個漏洞的補丁更新，并及時將它們的軟件進行修復。可悲的是，隨著他們發現有更多的項目受此漏洞的影響，這似乎將會持續的影響到組織未來的發展"。

本文翻譯自：https://threatpost.com/third-log4j-bug-dos-apache-patch/177159/如若轉載，請注明原文地址。