Amazon Web Services (AWS) 从 12 月开始在其热补丁中修复了四个安全问题，这些问题解决了严重的 Log4Shell 漏洞 (CVE-2021-44228)，该漏洞影响运行带有易受攻击版本的 Log4j 日志库的 Java 应用程序的云或本地环境，或者容器。

来自亚马逊的热补丁包并不是 AWS 资源独有的，它允许在环境中逃逸容器并控制主机。还可以通过非特权进程利用这些漏洞来提升特权并像使用 root 权限一样执行代码。

这些漏洞目前被跟踪为 CVE-2021-3100、CVE-2021-3101、CVE-2022-0070 和 CVE-2022-0071。所有这些都被评估为高严重性风险，得分为 8.8 分（满分 10 分）

热补丁问题
Palo Alto Network 的 Unit 42 的安全研究人员发现，亚马逊的 Log4Shell 热修复解决方案将继续搜索 Java 进程并即时修补它们，而不会确保修补的进程在对容器施加的限制下运行。

研究人员解释说：“因此，一个恶意容器可能包含一个名为“java”的恶意二进制文件，以欺骗已安装的热补丁解决方案以提升的权限调用它。

他们补充说，“恶意的“java”进程可能会滥用其提升的权限来逃离容器并接管底层主机。”

“容器可以逃逸，无论它们是否运行 Java 应用程序，或者其底层主机是否运行 Bottlerocket，这是 AWS 用于容器的强化 Linux 发行版。使用用户命名空间或作为非 root 用户运行的容器也会受到影响”- Palo Alto Networks

Amazon 的补丁造成的另一个问题是主机进程的处理方式相似，它们都在 Log4Shell 修复过程中获得了提升的权限。

恶意行为者可能会植入一个名为“java”的非特权进程二进制文件，并欺骗修复服务以提升的特权执行它。

Unit 42 团队还发布了以下概念验证 (PoC) 漏洞利用视频来演示容器逃逸场景：

实施细节已被故意隐藏，以防止威胁参与者立即在攻击中使用它，并让管理员有时间应用可用的安全更新。

发现并修复缺陷
Palo Alto Networks 的研究人员在发布修补程序六天后发现了 AWS 修补程序的安全问题，并于 2021 年 12 月 21 日通知了亚马逊。

AWS 安全团队承认了这些漏洞，并试图在 2021 年 12 月 23 日通过新的更新来修复它们，但事实证明这些更改是不够的。

在随后的几个月中，Unit 42 提供了有关他们如何绕过新修复程序的更多信息，并且在 2022 年 4 月 4 日，剩余的问题很少。

2022 年 4 月 19 日，AWS 发布了其 Log4Shell 修补解决方案的最终更新，管理员可以通过以下方式之一应用这些更新：

Kubernetes 用户可以部署最新版本的 Daemonset，不会影响 Log4Shell 补丁

Hotdog 用户可以升级到可用的最新版本
独立主机可以使用以下命令进行升级：
"yum update log4j-cve-2021-44228-hotpatch" (RPM)
"apt install --only-upgrade log4j-cve-2021-44228-hotpatch" (DEB)
Palo Alto Networks 的 Unit 42 发现的 Log4Shell 热补丁中的四个漏洞描述如下：

CVE-2021-3100：由于未能模仿已修补的 JVM 的权限而导致的权限升级，允许任何进程以不必要的高权限运行（CVSS 基本分数：8.8）
CVE-2022-0070：CVE-2021-3100 的不完整修复
CVE-2021-3101：热狗不遵守目标 JVM 上的设备限制、系统调用过滤器和资源限制，可能导致恶意修改、策略覆盖和资源耗尽（CVSS 基本分数：8.8）
CVE-2022-0071：CVE-2021-3101 的不完整修复

亚马逊还发布了有关上述漏洞的新公告，为解决这些问题提供了官方指导。

Unit 42 警告不要优先修复针对 Log4Shell 的容器逃逸漏洞，因为 Log4j 漏洞更为严重且被积极利用。