โดยBiew Apaporn - 07/01/2022
ตามที่Microsoft Security Response Teamระบุ ช่องโหว่ 0 วันของ Apache Log4j อนุญาตให้เรียกใช้โค้ดจากระยะไกลโดยไม่ได้ตรวจสอบสิทธิ์ และเริ่มทำงานเมื่อสตริงที่สร้างขึ้นเป็นพิเศษโดยผู้โจมตีผ่านอินพุตเวกเตอร์ต่างๆ แยกวิเคราะห์และประมวลผลโดยคอมโพเนนต์ที่มีช่องโหว่ Log4j 2 การโจมตีเกิดขึ้นไม่ถึงหนึ่งวันหลังจากการรายงาน และ Netlab แผนกความปลอดภัยเครือข่ายของ Qihoo 360 ยักษ์ใหญ่ด้านเทคโนโลยีของจีน เปิดเผยว่าผู้โจมตีเช่นMirai และ Muhstik (หรือที่เรียกว่า Tsunami) ยังคงมองหาเซิร์ฟเวอร์ที่มีช่องโหว่เพื่อใช้ประโยชน์
ในปัจจุบัน ช่องโหว่นี้หรือที่เรียกว่า CVE-2021-44228ในปัจจุบันมีคะแนนพื้นฐานของเมทริกซ์ความเสี่ยงที่ 10 ซึ่งเป็นความเสี่ยงสูงสุดตามคำแนะนำของ Oracleและถูกระบุว่าเป็นระดับความรุนแรงที่สำคัญโดยGitHub
คุณได้รับผลกระทบหรือไม่?
เพื่อตรวจสอบว่าแอปพลิเคชันของคุณได้รับผลกระทบจากช่องโหว่นี้หรือไม่:
หากแอปพลิเคชันมีปัญหาทั้ง Java และ Log4j ตามคำแนะนำของ Certnzจะได้รับผลกระทบอย่างแน่นอน แต่คุณยังสามารถตรวจสอบช่องโหว่โดเมนของคุณโดยใช้เครื่องมือทดสอบเปิดแหล่งที่มาเช่น GitHub – log4shell-ทดสอบ
Log4j โซลูชั่น?
ดาวน์โหลด Log4j เวอร์ชั่น 2.16.0 (หากคุณไม่สามารถอัพเกรดได้ ให้ทำตามขั้นตอนด้านล่าง):
AppScan สามารถช่วยได้อย่างไร
HCL AppScan สามารถช่วยให้นักพัฒนาสแกนหาช่องโหว่ของ log4j CVE-2021-44228และCVE-2021-45046ด้วยการวิเคราะห์โอเพ่นซอร์ส (OSA) หรือการทดสอบความปลอดภัยแอปพลิเคชันแบบไดนามิก (DAST) ในโซลูชันการทดสอบความปลอดภัยแอปพลิเคชันบนคลาวด์ AppScan บนคลาวด์ .
เรียนรู้วิธีสแกนหาช่องโหว่ Log4j ด้วยHCL AppScan บนความสามารถ OSA ของ Cloud
เรียนรู้วิธีสแกนหาช่องโหว่ Log4j ด้วยHCL AppScan บนความสามารถ DAST ของ Cloud
AppScan บนคลาวด์ (ASoC) คืออะไร?
ASoC นำเสนอชุดเครื่องมือทดสอบความปลอดภัยที่ครอบคลุมที่ไม่มีใครเทียบได้บนคลาวด์ รวมถึง SAST, DAST, IAST และ OSA ช่วยให้องค์กรสามารถจัดการจุดอ่อนได้ตั้งแต่ช่วงต้นของ Software Development Life Cycle (SDLC) ลดการตรวจพบที่ผิดพลาด แก้ไขโค้ดตามที่เขียน และให้ผลสหสัมพันธ์ขั้นสูงเพื่อส่งมอบผลลัพธ์ที่แม่นยำยิ่งขึ้น ช่วยให้องค์กรสามารถส่งมอบซอฟต์แวร์ที่ปลอดภัยและตรงตามข้อกำหนดได้เร็วยิ่งขึ้นและในวงกว้าง
หากสนใจ AppScan และชุดเครื่องมือทดสอบความปลอดภัยของเรา ซึ่งรวมถึง SAST, DAST, IAST สำหรับเว็บ และแอปพลิเคชันโอเพนซอร์ส ติดต่อเรา KTNBS
Biew Apapornเป็นผู้พัฒนาและออกแบบแอพพิลเคชั่นด้วย IBM Domino Designer, Xpage, Javascript, Lotus Script, Bootstrap, CSS, HTML
Biew Apaporn
เป็นผู้พัฒนาและออกแบบแอพพิลเคชั่นด้วย IBM Domino Designer, Xpage, Javascript, Lotus Script, Bootstrap, CSS, HTML