Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft een opensourcetool gelanceerd voor het vinden van applicaties die kwetsbaar zijn voor de recent ontdekte beveiligingslekken in Log4j. De "Log4j Scanner" van het CISA is gebaseerd op andere opensourcescanners en wordt omschreven als een scanoplossing voor de Log4j-kwetsbaarheden CVE-2021-44228 en CVE-2021-45046.

Volgens de Amerikaanse overheidsinstantie was het niet nodig om het "wiel opnieuw uit te vinden" en is er daarom gebruikgemaakt van al bestaande tools, om vervolgens allerlei nieuwe features te ontwikkelen. Zo ondersteunt de Log4j Scanner lijsten met url's, verschillende fuzzing-opties, dns-callback en payloads om webapplicatie-firewalls mee te omzeilen.

Waar eerdere tools bijvoorbeeld drie of vier HTTP request headers voor fuzzing gebruikten, ondersteunt de Log4j Scanner er meer dan zestig. Wel waarschuwt het CISA dat er waarschijnlijk andere, nog onbekende manieren zijn om misbruik van de Log4j-lekken te maken die nog niet in de tool zijn verwerkt.

Bron: Security.nl