CISA已发布Apache Log4j漏洞扫描器

在Log4shell漏洞曝光之后，美国网络安全与基础设施局(CISA)一直在密切关注事态发展。除了敦促联邦机构在圣诞假期之前完成修补，国防部下属的该机构还发起了#HackDHS漏洞赏金计划。最新消息是，CISA 又推出了一款名叫log4j-scanner的漏洞扫描器，以帮助各机构筛查易受攻击的web服务。

据悉，作为CISA快速行动小组与开源社区团队的一个衍生项目，log4j-scanner能够对易受两个Apache远程代码执行漏洞影响的Web服务进行识别(分别是CVE-2021-44228和CVE-2021-45046)。

这套扫描解决方案建立在类似的工具之上，包括由网络安全公司FullHunt开发的针对CVE-2021-44228漏洞的自动扫描框架。有需要的安全团队，可借助该工具对网络主机进行扫描，以查找Log4j RCE暴露和让Web应用程序绕过防火墙(WAF)的潜在威胁。

目前该项目在Github已经获得了814星标。