在 Log4shell 漏洞曝光之后，美國網(wǎng)絡安全與基礎設施局（CISA）一直在密切關注事態(tài)發(fā)展。除了敦促聯(lián)邦機構(gòu)在圣誕假期之前完成修補，國防部下屬的該機構(gòu)還發(fā)起了 #HackDHS 漏洞賞金計劃。最新消息是，CISA 又推出了一款名叫“l(fā)og4j-scanner”的漏洞掃描器，以幫助各機構(gòu)篩查易受攻擊的 web 服務。

截圖（來自：GitHub）

據(jù)悉，作為 CISA 快速行動小組與開源社區(qū)團隊的一個衍生項目，log4j-scanner 能夠?qū)σ资軆蓚€ Apache 遠程代碼執(zhí)行漏洞影響的 Web 服務進行識別（分別是 CVE-2021-44228 和 CVE-2021-45046)。

這套掃描解決方案建立在類似的工具之上，包括由網(wǎng)絡安全公司 FullHunt 開發(fā)的針對 CVE-2021-44228 漏洞的自動掃描框架。

有需要的安全團隊，可借助該工具對網(wǎng)絡主機進行掃描，以查找 Log4j RCE 暴露和讓 Web 應用程序繞過防火墻（WAF）的潛在威脅。

CISA 在 log4j-scanner 項目主頁上介紹了如下功能：

● 支持統(tǒng)一資源定位符（URL）列表。

● 可對 60 多個 HTTP 請求標頭展開模糊測試（不僅限于 3-4 個）。

● 可對 HTTP POST 數(shù)據(jù)參數(shù)開展模糊測試。

● 可對 JSON 數(shù)據(jù)參數(shù)開展模糊測試。

● 支持用于漏洞發(fā)現(xiàn)和驗證的 DNS 回調(diào)。

● 可篩查有效載荷的防火墻（WAF）繞過。