并非所有黑客都以最新的物联网设备或联网汽车为目标。2020年的SolarWinds黑客事件已经赤裸裸地告诉人们,支撑现代文明的技术不仅“差”,而且还有漏洞。也许正是这一事件激发了攻击者在圣诞节假期前创建Log4Shell。Log4Shell是Log4j的漏洞利用,Log4j是Java社区中开发人员常用的开源日志记录库,提供了用于记录错误消息、诊断信息等的框架。Log4j存在于世界各地的公司使用的产品中,包括中国的许多组织。该漏洞最终可能导致个人信息泄露和远程代码执行(RCE),从而给组织及其客户带来各种问题。开发人员喜欢使用Log4j库,因为它非常全面(包括查找、嵌套、JNDI等)。已经有大量尝试利用此漏洞,而且这个数字的增长速度惊人。世界各地的个人、大型企业组织和政府机构将继续讨论这个漏洞,我们已经了解了很多关于它是如何工作的,它的发展方向,以及在减轻它对世界的影响时需要考虑的独特因素。未来。数据窃取和远程代码执行漏洞越来越多的服务器正在扫描整个网络以查找易受攻击的服务器,从而使攻击者能够窃取信息并执行恶意代码。数据盗窃是攻击者用来锁定、复制和传输敏感数据的一种技术,这些数据可以通过Log4j查询表达式访问并很容易被劫持到他们控制的系统中。同样,攻击者还可以通过精心设计的日志行执行远程代码,从而在服务器内运行任意命令。在我们确定的攻击向量中,Web应用程序是攻击者的首要目标。这些应用程序记录访问该网站的最终用户与该网站的交互。另一个攻击媒介是DNS。为了搜索任何易受攻击的DNS解析器,攻击者在DNS查询中嵌入可利用的有效负载并发布这些查询的结果。但组织受到的威胁远不止这些情况。鉴于Java在全球数十亿台设备上运行,许多设备中的漏洞无法修补。结合其较大的足迹和设备暴露时间,我们相信此漏洞将在未来几年继续对我们构成威胁。发展方向——攻击载荷和攻击方式多样化随着对该漏洞的持续监测,我们发现该威胁正向两个不同的方向发展。首先,在攻击有效载荷方面,企业越来越依赖Web应用程序防火墙(WAF)等缓解措施来保护它们。这样的系统能够扫描网络请求以寻找可利用的字符串。一旦找到这样的字符串,他们就会放弃请求。第二个发展方向是攻击目标和协议的多样化。网络应用程序现在是主要的攻击媒介,因此组织将继续为它们提供更多的保护和漏洞修补,因此攻击者将目标对准了DNS和其他受到较少关注的协议。此类攻击的次数有所增加。鉴于可用于此漏洞的攻击媒介种类繁多,唯一的解决方案是修补所有易受攻击的系统。但在许多情况下,组织并没有首先全面了解哪些系统容易受到攻击,因此必须采取额外的缓解措施来最大限度地减少威胁面。为了获得最大程度的保护,任何可以修补漏洞的系统都应该在最新版本上运行Log4j。在其他情况下,组织必须优先考虑正在运行的系统,例如WAF和DNS防火墙以及零信任网络分段,以便发现可能的漏洞。从Log4j事件中吸取的教训随着此漏洞的发展和演变,我们正在研究如何在未来减轻其影响。为了满足最终用户的需求,开发人员必须将快速增长的库生态系统、语言生态系统以及第三方基础设施和服务视为新常态。领先的企业组织不仅开始评估特定库的风险,而且还通过评估该开发社区的实践来检查他们自己的依赖关系。即使进行了此类风险评估,漏洞仍然可能出现。所以在这种情况下可见性是最重要的。许多组织无法发现易受攻击的系统,因此他们必须部署能够及时响应并防止被充分利用的系统。最后,组织应采用最小特权原则,包括限制对服务器、机器和软件的访问,以便用户只能访问执行任务所需的系统。如果出现漏洞,这可以大大减少威胁面。Log4j漏洞对全球企业构成了复杂的高风险威胁。由于该漏洞威胁面大,全球未打补丁的系统数量众多,攻击者将继续利用该漏洞进行攻击尝试,并在此过程中影响众多组织。但组织可以比以往更快地恢复,只要他们努力构建成熟的安全基础。李胜/Akamai区域副总裁兼大中华区总经理
