通过WebSocket作为新的攻击媒介，Log4Shell漏洞攻击面扩大

最近的安全研究发现，攻击者可以使用一种全新的攻击媒介通过 JavaScript WebSocket 连接在本地利用服务器上的 Log4Shell 漏洞。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，这种新发现的攻击媒介手段，任何人与他们的机器或本地私有网络上易受攻击的Log4j版本可以浏览网站，并可能触发漏洞，在这一点上，没有主动利用的证据。这个向量显著扩大了攻击面，甚至可以影响作为未暴露于任何网络的本地主机运行的服务。

WebSockets允许在 Web 浏览器和服务器之间进行双向通信，这与 HTTP 不同，HTTP 是单向的，客户端发送请求，服务器发送响应。

虽然可以通过将所有本地开发和面向 Internet 的环境更新到 Log4j 2.16.0 来解决该问题，但 Apache 于周五推出了2.17.0 版本，该版本修复了漏洞号为 CVE-2021-45105的拒绝服务 (DoS) 漏洞（CVSS 得分 7.5），使其成为继CVE-2021-45046和CVE-2021-44228之后第三个被曝光的 Log4j2 漏洞。

在原始Log4Shell远程代码执行漏洞被披露后，迄今为止在日志框架中发现的漏洞列表如下：

• CVE-2021-44228（CVSS 评分：10.0） – 影响 Log4j 版本从 2.0-beta9 到 2.14.1 的远程代码执行漏洞（在 2.15.0 版本中修复）
• CVE-2021-45046（CVSS 评分：9.0） – 一个信息泄漏和远程代码执行漏洞，影响从 2.0-beta9 到 2.15.0 的 Log4j 版本，不包括 2.12.2（在 2.16.0 版本中修复）
• CVE-2021-45105（CVSS 评分：7.5） – 一个影响从 2.0-beta9 到 2.16.0 的 Log4j 版本的拒绝服务漏洞（在 2.17.0 版中修复）
• CVE-2021-4104（CVSS 评分：8.1） – 影响 Log4j 1.2 版的不受信任的反序列化缺陷（无可用修复；升级到 2.17.0 版）

与Log4j类似，今年上半年披露的最初的PrintNightmare漏洞导致发现了多个额外的不同漏洞。Log4j中额外漏洞的发现不应该引起对log4j本身安全性的关注。如果有的话，Log4j更安全，因为研究人员给予的额外关注。

除了产生多达 60 种变体之外，这个易于利用、无处不在的漏洞为攻击者提供了一个绝佳的机会之窗，超过 50% 的攻击利用 Tor 匿名服务来掩盖其真实来源。

换句话说，利用 Log4j 的威胁行为者通过更接近其预期目标的机器来路由他们的攻击，仅仅因为我们没有在列表顶部看到通常与网络安全威胁相关的国家并不意味着攻击不是发起的在那里。

谷歌发现大约 35863 个 Java 包（占 Maven 存储库的 8% 以上）使用易受攻击的 Apache Log4j 库版本。在受影响的组件中，只有大约 7000 个包直接依赖于 Log4j。

用户对Log4j依赖项和传递依赖项缺乏可见性，这使得修复变得困难，这也使得确定这个漏洞的完整影响半径变得困难。但从积极的方面来说，其中2620 个受影响的软件包在披露后不到一周就已经得到修复。