美国网络安全和基础设施安全局 (CISA)和CrowdStrike发布多个 Log4j 扫描器但没有一个能检测到所有的格式

据Z.NET12月24日报道，CISA本周发布了自己的Log4J扫描器，同时发布的还有网络安全公司和研究人员发布的其他扫描器。

开源的Log4j扫描器是由开源社区其他成员创建的扫描器派生而来的，其设计目的是帮助组织识别受Log4j漏洞影响的潜在脆弱Web服务。

图片来自：google

该协会表示，他们修改了由安全公司FullHunt开发的Log4J扫描器，并得到了菲利普·克劳斯(Philipp Klaus)和莫里茨·贝勒(Moritz Bechler)等其他研究人员的帮助。

存储库为CVE-2021-44228和CVE-2021-45046提供了扫描解决方案。 CISA表示，它支持DNS回调，以发现和验证漏洞，同时为HTTP POST数据参数、JSON数据参数提供fuing，并支持URL列表。

CrowdStrike也发布了自己的免费Log4J扫描器，名为CrowdStrike存档扫描工具(CAST)。

Rezilion的漏洞研究负责人Yotam Perkal对一些Log4J扫描器进行了测试，发现许多扫描器无法找到漏洞的所有实例。

“最大的挑战在于在生产环境的打包软件中检测Log4Shell: JAVA文件(比如Log4j)可以嵌套到其他文件的几个层次深处——这意味着浅层搜索不会找到它，”Perkal说。 “此外，它们可能被打包成许多不同的格式，这给在其他Java包中挖掘它们带来了真正的挑战。”

Rezilion针对打包的Java文件数据集测试了开发人员和IT团队最常用的9个扫描器，在打包的Java文件数据集中，Log4j被嵌套并以各种格式打包。

Perkal说，虽然有些扫描器比其他扫描器做得更好，但没有一个能检测到所有的格式。 根据Perkal的说法，这项研究说明了“静态扫描在检测Log4j实例方面的局限性”。

“它也提醒我们，检测能力取决于你的检测方法。 扫描器有盲点，”Perkal解释道。

“网络安全主管不能盲目地认为各种开源甚至商业级工具能够检测到所有的边缘情况。 以Log4j为例，在很多地方都有很多边缘实例。”

（编译：涂利慧）