在经历了近两年的新冠肺炎和混合工作带来的重大网络和安全变化后,疲惫的IT网络和安全团队不需要考虑另一个大问题,但他们有一个问题:遏制潜在的损害最近披露的漏洞在开源Java-logging Apache Log4j软件中。
Log4J或Log4Shell已达到很长一段时间 - 它于2001年1月发布 - 广泛用于各种企业和消费者服务,网站和应用程序。专家将系统描述为易于使用的常用实用程序,以支持客户端/服务器应用程序开发。
Log4j的弱点,定义在cve - 2021 - 44228和cve - 2021 - 45046在国家漏洞数据库中,基本上让一个未经身份验证的远程演员控制受影响的服务器系统并获得公司信息的访问或释放拒绝服务攻击。
这个问题是有补救办法的,所以组织应该立即升级到Log4j版本2.17.0专家们说,在两座CVES中受到保护。
尽管如此,该漏洞的影响可能是广泛的,因为它已经存在了很长时间,而且Log4j被广泛使用。Log4j库嵌入了几乎所有的互联网服务和应用,包括Twitter,亚马逊以及微软检查.
“Log4J蠕虫可能会损坏关键的基础设施,它已经是一个国家安全威胁,”Tom Kellermann说,网络安全主管VMware的策略。“糟糕的国家行为者已经在说话时已经利用它。”
例如,Check Point表示,截至12月16日,它已经看到超过280万次利用该漏洞的尝试,其中超过46%的尝试是由已知的恶意组织发起的。“到目前为止,我们已经看到全球超过47%的公司网络被尝试利用,”Check Point说所述.
思科的Talos安全研究部门所述它已经看到在电子邮件中放置Log4j Java命名和目录接口(JNDI)攻击字符串的尝试。“到目前为止,我们还没有发现大规模的电子邮件活动试图使用电子邮件信息来触发该漏洞。这是一种潜在的侦查,因为许多威胁行为者和研究人员实际上正在尝试一切方法,试图找到最终会攻击log4j的东西。”该组织表示。
“对企业客户来说,最大的问题是可能受到影响的系统数量,因为日志系统是如此广泛,而面对互联网的服务器可能非常脆弱,与它们相连的下游服务器也有问题,”思科Talos外联部主管Nick Biasini说。“此外,组织的批处理过程日志可能几个星期都没有处理,因此利用的影响将会持续很长一段时间。”
“Log4J漏洞非常普遍,可以影响企业应用程序,嵌入式系统及其子组件,”Gartner Research的研究总监Jonathan Care在A中表示陈述.“基于Java的应用程序,包括Cisco WebEx,MINECRAFT和FILESILLA FTP都是受影响程序的所有示例,但这绝不是一个详尽的列表。脆弱性甚至影响火星2020直升机使命,聪明才智,它利用Apache log4j进行事件日志记录。“
注意指出,安全社区已创建名单编目易受攻击的系统它包括主要网络球员,如思科,杜松,阿里斯塔,帕洛阿尔托, 和VMware.以及其他大型行业参与者,如IBM、AWS和谷歌。
“但是,重要的是要注意,这些列表不断变化,因此如果不包括特定的应用程序或系统,请不要将其视为保证它不会受到影响,”护理说明。“曝光此漏洞很可能,即使特定的技术堆栈不使用Java,安全领导者也应预测关键供应商系统 - SaaS供应商,云托管提供商和Web服务器提供商 - ”护理说明“。
修复
有许多企业可以做的事情来响应Log4j漏洞,专家说。
Kellermann说:“企业用户应该立即部署Log4j 2.16补丁,但他们也可以对出站流量进行微分片,以禁止新的连接。”“它们还需要监测这些环境中的异常流量,并扩大它们的威胁捕猎能力。”
VMware表示,它已在许多产品中响应了Log4J情况。例如,已释放NSX分布式IDS / IPS和NSX网络检测和响应(NDR)签名,检测log4j利用尝试,包括在野外看到的混淆方法。这些签名将检测并防止尝试利用漏洞,而不管始发,VMware都表示。
思科,帕洛阿尔托,AWS等也对该脆弱性做出了回应。
Gartner的护理表示,网络安全领导者需要确定和修复这种脆弱性绝对和立即优先事项。
“首先要对你职责范围内与互联网相连或可能被认为是面向公众的每个申请、网站和系统进行详细审核。这包括供应商产品的自托管安装和基于云的服务,”Care表示。“特别注意包含敏感操作数据的系统,如客户详细信息和访问凭据。”
一旦审计完成,把你的注意力转向远程员工Care表示,在美国,并确保他们更新个人设备和路由器,这是安全链中的重要一环。
Care表示:“这可能需要一种主动的、复杂的方法,因为仅仅发布一份指令列表是不够的,因为脆弱的路由器提供了进入关键企业应用程序和数据存储库的潜在入口。”“你将需要整个IT团队的支持与合作。”
美国网络安全和基础设施安全局(CISA)推荐组织在此漏洞中占用三个额外的步骤:“逐步逐步完成安装LOG4J的外部面向设备;确保您的安全运营中心正在落入上面的类别的设备上的每一个警报;并使用自动更新的规则安装Web应用程序防火墙(WAF),以便您的SOC能够集中更少的警报。“
O其他Log4j活动
- IBM的X-Force创建了一个扫描工具来检测Log4Shell。你可以在这里免费访问它:https://github.com/xforcered/scan4log4shell.
- 微软表示,由于该漏洞位于Java库中,Java的跨平台特性意味着该漏洞可在许多平台上被利用,包括Windows、macOS和Linux。由于许多基于Java的应用程序可以直接或间接地利用Log4j 2,组织应该联系应用程序供应商或确保他们的Java应用程序运行最新的版本。使用Log4j 2的开发人员应确保尽快将最新版本的Log4j合并到他们的应用程序中,以保护用户和组织。
- 微软还所述Azure应用程序服务和函数不会在托管运行时分发log4j,例如Tomcat,Java SE,JBoss EAP或函数运行时。但是,应用程序可能会使用Log4J并易于这种漏洞。建议客户应用最新的log4j安全更新并重新部署应用程序。
- 思科踝关节发布了CVE-2021-44228和CVE-2021-45046新增7个ClamAV签名。还发布了一个新的Snort Signature ID 58795。