โดยBiew Apaporn - 07/01/2022
ตามที่Microsoft Security Response Teamระบุ ช่องโหว่ 0 วันของ Apache Log4j อนุญาตให้เรียกใช้โค้ดจากระยะไกลโดยไม่ได้ตรวจสอบสิทธิ์ และเริ่มทำงานเมื่อสตริงที่สร้างขึ้นเป็นพิเศษโดยผู้โจมตีผ่านอินพุตเวกเตอร์ต่างๆ แยกวิเคราะห์และประมวลผลโดยคอมโพเนนต์ที่มีช่องโหว่ Log4j 2 การโจมตีเกิดขึ้นไม่ถึงหนึ่งวันหลังจากการรายงาน และ Netlab แผนกความปลอดภัยเครือข่ายของ Qihoo 360 ยักษ์ใหญ่ด้านเทคโนโลยีของจีน เปิดเผยว่าผู้โจมตีเช่นMirai และ Muhstik (หรือที่เรียกว่า Tsunami) ยังคงมองหาเซิร์ฟเวอร์ที่มีช่องโหว่เพื่อใช้ประโยชน์ ในปัจจุบัน ช่องโหว่นี้หรือที่เรียกว่า CVE-2021-44228ในปัจจุบันมีคะแนนพื้นฐานของเมทริกซ์ความเสี่ยงที่ 10 ซึ่งเป็นความเสี่ยงสูงสุดตามคำแนะนำของ Oracleและถูกระบุว่าเป็นระดับความรุนแรงที่สำคัญโดยGitHub คุณได้รับผลกระทบหรือไม่? เพื่อตรวจสอบว่าแอปพลิเคชันของคุณได้รับผลกระทบจากช่องโหว่นี้หรือไม่: กำหนดเวอร์ชัน Log4j ปัจจุบันของคุณและอัปเดต ทุกเวอร์ชันก่อน2.16.0ได้รับผลกระทบ ขอแนะนำเนื่องจากพบว่า Apache Log4j 2.15.0 ไม่สมบูรณ์ในการกำหนดค่าที่ไม่ใช่ค่าเริ่มต้นบางอย่าง ช่องโหว่นี้เรียกว่า ” CVE-2021-45046 ” ทำให้เวอร์ชันก่อนหน้ามีความเสี่ยงต่อการถูกโจมตี ด้วยเหตุนี้ Log4j 2.16.0 จึงสามารถแก้ไขปัญหานี้ได้โดยลบการสนับสนุนสำหรับรูปแบบการค้นหาข้อความและปิดใช้งานฟังก์ชัน JNDI ตามค่าเริ่มต้น กำหนดเวอร์ชัน Java ปัจจุบันของคุณและอัปเดต ทุกเวอร์ชันที่ต่ำกว่าเวอร์ชันด้านล่างมีความเสี่ยง: Java 6 – 6u212 Java 7 – 7u202 ชวา 8 – 8u192 Java 11 – 11.0.2 หากแอปพลิเคชันมีปัญหาทั้ง Java และ Log4j ตามคำแนะนำของ Certnzจะได้รับผลกระทบอย่างแน่นอน แต่คุณยังสามารถตรวจสอบช่องโหว่โดเมนของคุณโดยใช้เครื่องมือทดสอบเปิดแหล่งที่มาเช่น GitHub – log4shell-ทดสอบ Log4j โซลูชั่น? ดาวน์โหลด Log4j เวอร์ชั่น 2.16.0 (หากคุณไม่สามารถอัพเกรดได้ ให้ทำตามขั้นตอนด้านล่าง): พฤติกรรมสามารถบรรเทาได้โดยการตั้งค่าคุณสมบัติของระบบ formatMsgNoLookups หรือตัวแปรสภาพแวดล้อมLOG4J_FORMAT_MSG_NO_LOOKUPS เป็นจริง หากใช้ version >=2.0-beta9และ <=2.10.0ให้ลบคลาสJndiLookupของ log4j ออก จาก classpath ของ Java ดังนี้: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup .ระดับ AppScan สามารถช่วยได้อย่างไร HCL AppScan สามารถช่วยให้นักพัฒนาสแกนหาช่องโหว่ของ log4j CVE-2021-44228และCVE-2021-45046ด้วยการวิเคราะห์โอเพ่นซอร์ส (OSA) หรือการทดสอบความปลอดภัยแอปพลิเคชันแบบไดนามิก (DAST) ในโซลูชันการทดสอบความปลอดภัยแอปพลิเคชันบนคลาวด์ AppScan บนคลาวด์ . เรียนรู้วิธีสแกนหาช่องโหว่ Log4j ด้วยHCL AppScan บนความสามารถ OSA ของ Cloud เรียนรู้วิธีสแกนหาช่องโหว่ Log4j ด้วยHCL AppScan บนความสามารถ DAST ของ Cloud AppScan บนคลาวด์ (ASoC) คืออะไร? ASoC นำเสนอชุดเครื่องมือทดสอบความปลอดภัยที่ครอบคลุมที่ไม่มีใครเทียบได้บนคลาวด์ รวมถึง SAST, DAST, IAST และ OSA ช่วยให้องค์กรสามารถจัดการจุดอ่อนได้ตั้งแต่ช่วงต้นของ Software Development Life Cycle (SDLC) ลดการตรวจพบที่ผิดพลาด แก้ไขโค้ดตามที่เขียน และให้ผลสหสัมพันธ์ขั้นสูงเพื่อส่งมอบผลลัพธ์ที่แม่นยำยิ่งขึ้น ช่วยให้องค์กรสามารถส่งมอบซอฟต์แวร์ที่ปลอดภัยและตรงตามข้อกำหนดได้เร็วยิ่งขึ้นและในวงกว้าง หากสนใจ AppScan และชุดเครื่องมือทดสอบความปลอดภัยของเรา ซึ่งรวมถึง SAST, DAST, IAST สำหรับเว็บ และแอปพลิเคชันโอเพนซอร์ส ติดต่อเรา KTNBS
ตามที่Microsoft Security Response Teamระบุ ช่องโหว่ 0 วันของ Apache Log4j อนุญาตให้เรียกใช้โค้ดจากระยะไกลโดยไม่ได้ตรวจสอบสิทธิ์ และเริ่มทำงานเมื่อสตริงที่สร้างขึ้นเป็นพิเศษโดยผู้โจมตีผ่านอินพุตเวกเตอร์ต่างๆ แยกวิเคราะห์และประมวลผลโดยคอมโพเนนต์ที่มีช่องโหว่ Log4j 2 การโจมตีเกิดขึ้นไม่ถึงหนึ่งวันหลังจากการรายงาน และ Netlab แผนกความปลอดภัยเครือข่ายของ Qihoo 360 ยักษ์ใหญ่ด้านเทคโนโลยีของจีน เปิดเผยว่าผู้โจมตีเช่นMirai และ Muhstik (หรือที่เรียกว่า Tsunami) ยังคงมองหาเซิร์ฟเวอร์ที่มีช่องโหว่เพื่อใช้ประโยชน์
ในปัจจุบัน ช่องโหว่นี้หรือที่เรียกว่า CVE-2021-44228ในปัจจุบันมีคะแนนพื้นฐานของเมทริกซ์ความเสี่ยงที่ 10 ซึ่งเป็นความเสี่ยงสูงสุดตามคำแนะนำของ Oracleและถูกระบุว่าเป็นระดับความรุนแรงที่สำคัญโดยGitHub
คุณได้รับผลกระทบหรือไม่?
เพื่อตรวจสอบว่าแอปพลิเคชันของคุณได้รับผลกระทบจากช่องโหว่นี้หรือไม่:
หากแอปพลิเคชันมีปัญหาทั้ง Java และ Log4j ตามคำแนะนำของ Certnzจะได้รับผลกระทบอย่างแน่นอน แต่คุณยังสามารถตรวจสอบช่องโหว่โดเมนของคุณโดยใช้เครื่องมือทดสอบเปิดแหล่งที่มาเช่น GitHub – log4shell-ทดสอบ
Log4j โซลูชั่น?
ดาวน์โหลด Log4j เวอร์ชั่น 2.16.0 (หากคุณไม่สามารถอัพเกรดได้ ให้ทำตามขั้นตอนด้านล่าง):
AppScan สามารถช่วยได้อย่างไร
HCL AppScan สามารถช่วยให้นักพัฒนาสแกนหาช่องโหว่ของ log4j CVE-2021-44228และCVE-2021-45046ด้วยการวิเคราะห์โอเพ่นซอร์ส (OSA) หรือการทดสอบความปลอดภัยแอปพลิเคชันแบบไดนามิก (DAST) ในโซลูชันการทดสอบความปลอดภัยแอปพลิเคชันบนคลาวด์ AppScan บนคลาวด์ .
เรียนรู้วิธีสแกนหาช่องโหว่ Log4j ด้วยHCL AppScan บนความสามารถ OSA ของ Cloud
เรียนรู้วิธีสแกนหาช่องโหว่ Log4j ด้วยHCL AppScan บนความสามารถ DAST ของ Cloud
AppScan บนคลาวด์ (ASoC) คืออะไร?
ASoC นำเสนอชุดเครื่องมือทดสอบความปลอดภัยที่ครอบคลุมที่ไม่มีใครเทียบได้บนคลาวด์ รวมถึง SAST, DAST, IAST และ OSA ช่วยให้องค์กรสามารถจัดการจุดอ่อนได้ตั้งแต่ช่วงต้นของ Software Development Life Cycle (SDLC) ลดการตรวจพบที่ผิดพลาด แก้ไขโค้ดตามที่เขียน และให้ผลสหสัมพันธ์ขั้นสูงเพื่อส่งมอบผลลัพธ์ที่แม่นยำยิ่งขึ้น ช่วยให้องค์กรสามารถส่งมอบซอฟต์แวร์ที่ปลอดภัยและตรงตามข้อกำหนดได้เร็วยิ่งขึ้นและในวงกว้าง
หากสนใจ AppScan และชุดเครื่องมือทดสอบความปลอดภัยของเรา ซึ่งรวมถึง SAST, DAST, IAST สำหรับเว็บ และแอปพลิเคชันโอเพนซอร์ส ติดต่อเรา KTNBS
Biew Apapornเป็นผู้พัฒนาและออกแบบแอพพิลเคชั่นด้วย IBM Domino Designer, Xpage, Javascript, Lotus Script, Bootstrap, CSS, HTML
Biew Apaporn
เป็นผู้พัฒนาและออกแบบแอพพิลเคชั่นด้วย IBM Domino Designer, Xpage, Javascript, Lotus Script, Bootstrap, CSS, HTML