Log4j漏洞背后的组件并不总是容易被检测到,而且该组件的使用范围远远超出了企业自身的网络和系统。减轻公司对Log4j漏洞的暴露需要安全团队克服挑战,例如确定暴露的全部范围,找到解决方法来堵塞未打补丁的系统,并确保第三方产品和服务受到保护。安全专家本周表示,对于许多人来说,这项任务很复杂,因为需要不断监控攻击者试图利用漏洞的迹象,或他们可能已被破坏的迹象。Log4j是几乎所有Java应用程序中都存在的日志记录工具。从2.0-beta9到2.14.1的多个Log4j版本中存在一个严重的远程代码执行漏洞(CVE-2021-44228),攻击者可以利用该漏洞完全控制易受攻击的系统。上周,Apache基金会发布了该工具的更新版本(ApacheLog4j2.15.0),但在原始补丁未能完全防止拒绝服务(DoS)攻击和数据窃取后,周二发布了第二个更新。很多人觉得这个漏洞是近来最危险的漏洞之一,因为它太容易被利用了,而且在每个IT环境中都无处不在。例如,Veracode发现其88%的客户正在使用Log4j版本,而58%的客户在其环境中存在易受攻击的版本。自上周首次披露该漏洞以来,世界各地的攻击者一直在试图利用该漏洞。一些安全供应商已经观察到攻击者试图利用此漏洞来提供加密货币矿工、勒索软件、远程访问木马、Webshell和僵尸网络恶意软件。12月15日,Armis报告称其大约35%的客户正遭受通过此漏洞的主动攻击,31%的客户面临与托管设备上的Log4j漏洞相关的威胁。该安全供应商表示,针对其客户的攻击尝试多达30,000次。其他几家供应商也报告了类似的活动。Armis发现,到目前为止,IT环境中最容易受到攻击者攻击的资产是服务器、虚拟机和移动设备。在OT网络中,49%的被黑设备是虚拟机,43%是服务器。OT网络中的其他目标设备是网络摄像机、人机界面(HMI)以及监控和数据采集(SCADA)系统。确定问题范围安全专家表示,企业在防御针对Log4j漏洞的攻击时面临的主要挑战之一是了解其整个暴露面。该漏洞不仅存在于企业面向互联网的资产中,还存在于内部和后端系统、网络交换机、安全信息和事件管理(SIEM)等日志系统、内部开发的应用程序和第三方应用程序、软件作为服务(SaaS)和云服务,以及在您甚至可能不知道的环境中。此外,不同的应用程序和组件之间存在相互依赖关系,这意味着即使一个组件不直接存在漏洞,它仍然可能受到漏洞的影响。据NonameSecurity称,Java包打包机制往往会增加识别受影响应用程序的难度。例如,Java存档(JAR)文件可能包含特定组件的所有依赖项,包括Log4j库。但是一个JAR文件也可能包含其他JAR文件(这些JAR文件又可能包含另一个JAR文件)。基本上,这个漏洞可以嵌套很多层。“企业在缓解Log4j漏洞时面临的主要挑战之一是识别所有受损资产,”Netskope的威胁研究工程师GustavoPalazolo说。为向后兼容而维护的联网设备和遗留系统都使用此类日志记录库。即使发现某个应用程序存在漏洞,更新该应用程序也可能很困难,因为企业可能无法承受停机时间,或者缺乏适当的补丁管理控制。“因此,在某些情况下,识别所有受损系统和解决问题之间的时间可能很长,”Palazolo说。API和第三方有风险的应用程序并不是唯一的问题。Log4j漏洞还影响应用程序编程接口(API)环境。NonameSecurity表示,包含该漏洞的API服务器提供了一个有吸引力的攻击媒介,因为许多企业实际上对其API库存和API行为的可见性有限。不使用Log4j日志框架的企业,可能正在使用存在Log4j漏洞的可信第三方API,也存在被利用Log4j漏洞的风险。NonameSecurity的技术副总裁AnerMorag说:“企业需要采取几个步骤来最大限度地降低API类型[Log4j漏洞]攻击的风险。”这些步骤包括:映射使用任何Java服务提供者API所有服务器,不允许任何用户输入触摸API服务器上的日志消息,使用代理或其他机制来控制后端服务可以连接到哪些服务器,以及放置API在API网关或负载均衡器后面。企业面临的另一个Log4j漏洞缓解挑战是确保他们使用的所有第三方产品和服务都得到适当修补或针对漏洞采取缓解措施。“许多供应商产品受到影响,[并且]受影响供应商的数量每天都在增加。并非所有供应商都有可用的补丁,”AlertLogic安全运营副总裁TomGorup说。Gorup建议安全团队检查他们供应商的网站,或直接联系供应商以了解他们的产品是否受到影响。供应商可能容易受到此漏洞的影响,但已发布缓解措施以保护他们的客户。“至少,您需要知道如何验证您的资产是否已收到更新,”Gorup指出。他还建议安全团队检查过去几天发布的易受攻击产品列表,例如GitHub上发布的产品列表(网址:https://github.com/NCSC-NL/log4shell/tree/main/software).“对这个漏洞的回应可能是,‘我们不使用Java,’”Gorup说。“虽然情况可能如此,但您的第三方软件可能已经嵌入了Java,因此您的漏洞扫描根本不会显示这一点。[威胁]。”
