Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 23 december 2021 | Ämne: Säkerhet
CISA släppte sin egen Log4J-skanner denna vecka tillsammans med en mängd andra skannrar publicerade av cybersäkerhetsföretag och forskare.
Log4j-skannern med öppen källkod kommer från skannrar som skapats av andra medlemmar av open source-gemenskapen, och den är utformad för att hjälpa organisationer att identifiera potentiellt sårbara webbtjänster som påverkas av Log4j-sårbarheterna.
CISA sa att de modifierade en Log4J-skanner skapad av säkerhetsföretaget FullHunt och fick hjälp av andra forskare som Philipp Klaus och Moritz Bechler.
Förvaret tillhandahåller en skanningslösning för CVE-2021-44228 och CVE-2021-45046. CISA sa att det stöder DNS-återuppringning för upptäckt och validering av sårbarheter samtidigt som det tillhandahåller fuzzing för HTTP POST-dataparametrar, fuzzing för JSON-dataparametrar och stöd för listor med URL:er.
Den har också WAF Bypass-nyttolaster och fuzzing för mer än 60 HTTP-förfrågningshuvuden.
CrowdStrike släppte på samma sätt sin egen gratis Log4J-skanner som heter CrowdStrike Archive Scan Tool, eller “CAST”.
Yotam Perkal, ledare för sårbarhetsforskning på Rezilion, gjorde ett test av några av Log4J-skannrarna och fann att många inte kunde hitta alla instanser av sårbarheten.
Rezilion
“Den största utmaningen ligger i att upptäcka Log4Shell i paketerad programvara i produktionsmiljöer: Java-filer (som Log4j) kan kapslas några lager djupt in i andra filer – vilket innebär att en ytlig sökning efter filen inte hittar den,” Perkal sa. “Dessutom kan de paketeras i många olika format vilket skapar en verklig utmaning när det gäller att gräva in dem i andra Java-paket.”
Rezilion testade de nio skannrarna som oftast används av utvecklare och IT-team mot en datauppsättning av paketerade Java-filer där Log4j kapslades och paketerades i olika format.
Perkal sa att även om vissa skannrar gjorde det bättre än andra, så var ingen det kan upptäcka alla format. Enligt Perkal illustrerar forskningen “begränsningarna av statisk skanning när det gäller att upptäcka Log4j-instanser.”
“Det påminner oss också om att detekteringsförmågan bara är lika bra som din detekteringsmetod. Scanners har blinda fläckar,” förklarade Perkal .
“Säkerhetsledare kan inte blint anta att olika verktyg av öppen källkod eller till och med kommersiell kvalitet kommer att kunna upptäcka varje kantfall. Och i fallet med Log4j finns det många edge-instanser på många ställen. “
Säkerhet
Log4j-hot:10 frågor du behöver ställa Apache släpper ny 2.17.0 patch för Log4j, löser DoS-sårbarhet Polisen hittar 225 miljoner stulna lösenord på en hackad server. Är din en av dem? Hur detta företag inte betalade när det drabbades av ransomware De bästa VPN:erna för små och hembaserade företag 2021 Regeringen | Säkerhets-TV | Datahantering | CXO | Datacenter