[[442293]]

在 Log4shell 漏洞曝光之后，美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施局（CISA）一直在密切關(guān)注事態(tài)發(fā)展。除了敦促聯(lián)邦機(jī)構(gòu)在圣誕假期之前完成修補(bǔ)，國(guó)防部下屬的該機(jī)構(gòu)還發(fā)起了 #HackDHS 漏洞賞金計(jì)劃。最新消息是，CISA 又推出了一款名叫“log4j-scanner”的漏洞掃描器，以幫助各機(jī)構(gòu)篩查易受攻擊的 web 服務(wù)。

截圖（來(lái)自：GitHub）

據(jù)悉，作為 CISA 快速行動(dòng)小組與開(kāi)源社區(qū)團(tuán)隊(duì)的一個(gè)衍生項(xiàng)目，log4j-scanner 能夠?qū)σ资軆蓚€(gè) Apache 遠(yuǎn)程代碼執(zhí)行漏洞影響的 Web 服務(wù)進(jìn)行識(shí)別（分別是 CVE-2021-44228 和 CVE-2021-45046)。

這套掃描解決方案建立在類(lèi)似的工具之上，包括由網(wǎng)絡(luò)安全公司 FullHunt 開(kāi)發(fā)的針對(duì) CVE-2021-44228 漏洞的自動(dòng)掃描框架。

有需要的安全團(tuán)隊(duì)，可借助該工具對(duì)網(wǎng)絡(luò)主機(jī)進(jìn)行掃描，以查找 Log4j RCE 暴露和讓 Web 應(yīng)用程序繞過(guò)防火墻（WAF）的潛在威脅。

CISA 在 log4j-scanner 項(xiàng)目主頁(yè)上介紹了如下功能：

● 支持統(tǒng)一資源定位符（URL）列表。

● 可對(duì) 60 多個(gè) HTTP 請(qǐng)求標(biāo)頭展開(kāi)模糊測(cè)試（不僅限于 3-4 個(gè)）。

● 可對(duì) HTTP POST 數(shù)據(jù)參數(shù)開(kāi)展模糊測(cè)試。

● 可對(duì) JSON 數(shù)據(jù)參數(shù)開(kāi)展模糊測(cè)試。

● 支持用于漏洞發(fā)現(xiàn)和驗(yàn)證的 DNS 回調(diào)。

● 可篩查有效載荷的防火墻（WAF）繞過(guò)。