log4shell сканеры (CVE-2021-44228, CVE-2021-45046 и CVE-2021-45105) для Linux

Log4Shell (CVE-2021-44228) - уязвимость, обнаруженная в биб­лиоте­ке жур­налиро­вания Log4j, позволяющая выполнить произвольный код в атакуемой системе. Библиотека Log4j присуствует во многих корпоративных приложениях. Уязвимость набрала десять бал­лов из десяти воз­можных по шка­ле оцен­ки уяз­вимос­тей CVSS v3.

В библиотеке Log4J обнаружено несколько уязвимостей CVE-2021-44228, CVE-2021-45046 и CVE-2021-45105

log4shell

Подготовка к использованию сканеров

У каждого сканера есть свои зависимости: java, Python, Yara, zip, unzip или go

Для CentOS и RHEL

В CentOS и RHEL предварительно необходимо установить epel

Установка GIT

Установка yara

Установка zip и unzip

Установка Python 3

Установка GO

Установка Java

Для Debian и Ubuntu

Установка GIT

Установка yara

Установка zip и unzip

Установка python3

Утсановка GO

Установка java

Сканер log4j от bi.zone

GIT: https://github.com/bi-zone/Log4j_Detector

Позволяет обнаружить процессы использующие log4j используя YARA.

Клонируем файлы локально и запускаем сканирования

Запуск сканера

по завершению сканирования, сформирует файл scan_results.txt, содержащий PID процесса использующего log4j

Сканер log4jscanlinux от Qualys

GIT: https://github.com/Qualys/log4jscanlinux

Позволяет обнаружит уязвимые приложения.

Для работы требуется наличие улит zip и unzip

Установка сканера

Сканирование

По умолчанию сканирует корень /, игнорируя сетевые директории.

Параметры запуска: sh ./log4j_findings.sh [base_dir] [network_filesystem_scan<true/false>]

По окончанию сканирования, результат можно посмотреть в /usr/local/qualys/cloud-agent/log4j_findings.stderr

Сканер log4j-detector

Позволяет обнаруживать уязвимые версии Loj4j в файловой системе. Написан на java.

GIT: https://github.com/mergebase/log4j-detector

Установка сканера

Запуск сканера

Пример использования

Сканер log4j-finder

Сканер написанный на Python 3, обеспечивает сканирование файловой системы и поиска модуля Log4j2, уязвимого для Log4Shell. Он рекурсивно сканирует как на диске, так и внутри (вложенных) файлов архива Java (JAR).

GIT: https://github.com/fox-it/log4j-finder

Установка сканера

Запуск сканера

Пример работы

Сетевой сканер log4shell - log4j-scan

Сканер написанный на Python 3, позволяет проверить наличие уязвимости удаленно.

GIT: https://github.com/fullhunt/log4j-scan

Установка сканера

Пример сканирования

Сетевой сканер log4shell - log4shell-looker

Сканер написанный на go, позволяет проверить наличие уязвимости удаленно.

GIT: https://github.com/ravro-ir/log4shell-looker

Клонируем и переходим

Пример запуска

При сканировании указываем mode (header, useragent cookie, urlpath или contents) и удаленный адрес в параметре -url

Сетевой сканер log4-scanner от CISA

Автоматизированный, точный и обширный сканер для поиска уязвимых хостов log4j. Написанный на Python 3.

Для работы требуются модули Python 3: python3-requests python3-crypto python3-termcolor

GIT: https://github.com/cisagov/log4j-scanner/tree/master/log4-scanner

Установка

Запуск сканера

CAST: CrowdStrike Archive Scan Tool

Быстрый сканер для поисках уязвимых версий log4j

GIT: https://github.com/CrowdStrike/CAST

Установка

Заходим на страницу: https://github.com/CrowdStrike/CAST/releases и выбираем архив с последней версией под Linux, к примеру cast_0.6.0_Linux_amd64.tar.gz

скачиваем и распаковываем архив

параметры запуска:

./cast scan -maxmem <максимальный размер првоеряемого файла> -recursion <максимальная глубина сканирования архива> <путь>

Пример использования

Пример работы:

OpenVAS (gvm)

В OpenVAS имеется отдельный профиль для выявления Log4Shell в сети.

OpenVAS openvas-log4shell

 

Понравилась статья? Поделиться с друзьями:
Добавить комментарий