CISA推出名叫“log4j-”的漏洞赏金计划(图)

自漏洞曝光以来，美国网络安全和基础设施局（CISA）一直在密切关注事态发展。除了敦促联邦机构在圣诞节假期之前完成修补外监听程序当前无法识别连接描述符中请求的服务，国防部下属的机构还启动了# 计划。最新消息是，CISA 推出了名为“log4j-”的漏洞扫描程序，以帮助机构筛选易受攻击的 Web 服务。

截图（来自：）

据悉，作为 CISA Fast Group 和开源社区团队的衍生项目监听程序当前无法识别连接描述符中请求的服务，log4j- 可以识别易受两个远程代码执行漏洞（分别为 CVE-2021-44228 和 CVE-2021-4504）的 Web 服务。 @6)。

这套扫描解决方案建立在类似的工具之上，包括由网络安全公司针对 CVE-2021-44228 漏洞开发的自动扫描框架。

有需要的安全团队可以使用此工具扫描网络主机以查找暴露 Log4j RCE 并允许 Web 应用程序绕过防火墙 (WAF) 的潜在威胁。

CISA 在 log4j- 主页上描述了以下功能：

● 支持统一资源定位器 (URL) 列表。

● 对60 多个HTTP 请求头进行模糊测试（不限于3-4 个）。

文章来源:http://news.51cto.com/art/202112/696802.htm

感谢您的来访，获取更多精彩文章请收藏本站。