WebSocket成Log4j漏洞攻擊新管道，連不對外網路主機也曝險[轉載於iThome]

公開兩周的Apache Log4j漏洞，讓全球伺服器管理員疲於奔命忙著修補漏洞及更新軟體。一項研究發現，本漏洞也可能讓包含這項軟體元件的終端機器、或本地主機被遠端執行程式碼。

這是安全廠商Blumira在Log4j軟體的CVE-2021-44228漏洞發現的另一個攻擊管道。原本該漏洞出在Log4j的JNDI API未能驗證由遠端LDAP、或其他端點發送修改過參數的log訊息，讓遠端攻擊者可從LDAP伺服器下載惡意程式碼至受害伺服器執行。這種情況下，主要是執行Jog4j的對外伺服器曝險。

但Blumira團隊發現，攻擊者也可以使用Javascript WebSocket連線來觸發這漏洞，以便在用戶機器上遠端執行程式碼。WebSocket是現代瀏覽器都支援的協定，可用於許多種任務，像是從網站傳送通訊訊息或警示到瀏覽器，讓瀏覽器能快速回覆訊息。

但研究人員指出，WebSocket並不像一般跨域的HTTP請求，受同源政策（same-origin policy）規範，而是需伺服器本身自行驗證呼叫來源。這就可能引發跨網域攻擊，由惡意網站呼叫另一網站的服務。這缺點曾被用在以WebSocket連線傳送惡意呼叫到線纜數據機，或是今天的主角：本地主機。此類攻擊手法也可用來掃瞄本地主機開放的傳輸埠。

用戶端本身一般並不能直接控管WebSocket連線，後者是在網頁下載時悄悄啟動。更糟的是，用戶主機內的WebSocket連線可能很難看到連線內容，使得此類攻擊的偵測更加困難。