为什么ApacheLog4j是最受欢迎的Java日志记录库,其GitHub项目的下载量超过400,000次。它被全球许多公司广泛使用,支持登录大量流行的应用程序。但是,2021年12月9日,Apache日志记录包Log4j2版本2.14.1及更早版本(CVE-2021-44228)中报告了一个危险的远程代码执行(RCE)漏洞。攻击者可以很容易地利用漏洞来控制基于Java的Web服务器并发起远程代码执行攻击。自上周五以来,该漏洞造成的威胁形势愈演愈烈,原始漏洞的新变种迅速出现——不到24小时内就出现了60多个。例如,可以通过HTTP或HTTPS(浏览的加密版本)利用它。该漏洞为攻击者提供了多种绕过新保护措施的选择。这意味着一层保护永远不够,只有多层安全才能提供弹性。CheckPoint的InfinityPlatform是唯一一个为客户提供针对最近Log4j漏洞(Log4Shell)的主动保护的安全平台。借助上下文AI,该平台能够准确防御最复杂的初始攻击,而不会出现误报。随着应用程序和威胁形势的不断发展和扩展,客户Web应用程序保持安全,因为安全保护会自动更新,无需人工干预或部署规则集。用户需要采取哪些步骤来保证安全?CheckPoint发布了一种新的基于威胁云的Quantum网关保护,旨在防止此类攻击。有了这个解决方案,用户的数字资产将得到永久保护。如果用户的Quantum网关更新了自动新保护技术,用户可以直接享受可靠的保护。CheckPoint强烈建议IT和安全团队立即采取行动对此进行补救。CheckPoint如何应对Log4j漏洞的影响?作为全球互联网安全的长期领导者,CheckPoint已严格验证其Infinity架构不受Log4j影响。与此同时,CheckPointResearch正在对Log4j漏洞的来源和可能的去向进行全面调查。CheckPointResearch(CPR)密切监视大规模扫描和利用尝试。尽管在撰写本文时该活动仅限于运行扫描仪的加密货币挖掘攻击者,但这并不意味着更高级的攻击者将来不会跟上速度。显然,Log4j漏洞是近年来Internet上最严重的漏洞之一,它是一种真正的网络威胁——一种可以迅速传播的毁灭性攻击。CVE-2021-44228背后的数字此CVE进入网络威胁存储库,其中常见软件和服务中的主要漏洞影响众多组织和机构。自上周五以来,CheckPoint发现了超过1,800,000次利用Log4j漏洞的攻击尝试,这使得CheckPoint在全球范围内跟踪的近一半企业网络成为此次攻击活动的目标。2021年12月14日,我们引入了这个漏洞,导致5个国家/地区的加密货币挖矿集团受到真实世界的攻击。2021年12月15日,CheckPoint发现一个名为“CharmingKitten”或APT35的知名伊朗黑客组织在过去24小时内试图利用Log4j漏洞针对以色列的七个政府和商业部门目标。同时,在过去一周,CheckPoint按地理位置和行业分布分析了受漏洞影响的组织和机构的百分比。可以发现,全球多达46.3%的组织受到了该漏洞的影响;部分重点行业半数以上企业不同程度受到攻击。CheckPoint如何帮助用户?CheckPointSoftwareTechnologies率先发布针对ApacheLog4j远程代码执行(CVE-2021-44228)漏洞的量子网关保护,强烈建议所有用户确保保护模式设置为Prevent,以避免数字资产被利用。此外,Apache还提供了一个补丁(Log4j2.15.0)来规避此漏洞。用户可以相应地更新他们的版本。如果无法更新,还有Apache建议的其他补救措施:Log4j2.10或更高版本:添加-Dlog4j.formatMsgNoLookups=true作为命令行选项,或将log4j.formatMsgNoLookups=true添加到类路径上的log4j2。component.properties文件以防止在日志事件消息中查找。Log4j2.7或更高版本:在模式布局配置中指定%m{nolookups}以防止在日志事件消息中查找。考虑阻止LDAP和RMI出站流量从易受攻击的服务器到Internet。从log4j-corejar中删除JndiLookup和JndiManager类代码。请注意,删除JndiManager会使JndiContextSelector和JMSAppender失效。CloudGuardAppSec使用CheckPointWeb应用程序最佳实践在预防模式下提供零日保护以防止此漏洞利用。此外,CloudGuardAppSecIPS的所有用户都会获得带有相关CVE编号的自动签名更新。CheckPoint用于应用程序保护的下一代WAF使用基于AI的保护技术来确保您的所有Web应用程序都得到自动保护,而无需部署、主动更新或安装任何组件。最后,CheckPointResearch将继续向您通报有关此重大安全事件的任何最新进展。CheckPoint的技术支持团队也将为用户提供24/7的支持,确保用户的网络始终安然无恙。
