2021年12月,Log4j爆出一个“核弹级”漏洞(Log4Shell),并迅速在互联网上像毒瘤一样蔓延开来,短时间内杀死了全球40%以上的企业网络时间一到就发生了攻击,全世界的企业安全人员瞬间失去了周末。该漏洞利用成本极低,可直接执行任意代码,接管目标服务器。Log4Shell的攻击面如此之大,以至于一些专家认为该漏洞可与2014年的Shellshock系列安全漏洞相媲美,这些漏洞在最初披露后的数小时内就被受感染计算机组成的僵尸网络所利用,以发起分布式拒绝服务(DDoS)攻击攻击。)攻击和漏洞扫描。Log4j漏洞并不少见,应该持续关注以充分识别和修复问题。这里有一些基本的方法与大家分享。对Log4j的担忧主要是由于Java日志库无处不在,以及未经身份验证的攻击者很容易利用它来实现远程代码执行(RCE)。我们更新了配置,就好像我们已经为Log4j攻击套件做好了准备,但这只是触及表面。与此同时,此漏洞的变种已经出现,但在组织内部,包括核心基础设施全面升级在内的长期解决方案还遥遥无期。由于随之而来的常见漏洞披露(CVE),以及许多团队在更改配置和扫描易受攻击软件的资产方面的草率,Log4j完全处于控制之下还需要几个月的时间。许多组织要么长时间停留在调查阶段,试图完全弄清楚系统在哪里使用Java或Log4j,要么他们总是处于修复过程中,因为操作或系统限制限制了他们推出完整补丁的能力.由于初始配置更改不充分,漏洞不断变化,或准备执行完整修复。下面提到的最佳实践和要点将帮助安全团队为此做好准备。大量使用资产管理Log4j漏洞出现后,安全团队急于寻找拥有大量资产的群体并进行优先级排序。人们普遍希望通过快速、可扩展的方式来查找Java和Log4j实例。有这么多可用的检测工具,许多安全组织忘记了一件基本的事情:最新的软件资产清单。资产收集和处理至关重要,安全团队需要及时回答以下问题:哪些Linux服务器正在运行Log4j?哪些虚拟机使用Java?强大的资产管理加快了补丁周期,每当有新的Log4j出现时,就需要立即打新补丁。拥有更好资产管理能力的团队对Log4j的响应更快,更快地识别易受攻击的Java实例并监控修复的操作影响。最佳防御:更快的补救周期修补是抵御新出现威胁的最佳防御,但攻击者也会很快将新的CVE合并到他们的攻击工具包中。升级到最新版本是减轻攻击和保护系统的最可靠方法。随着时间的推移,依赖手动配置更改可能会导致系统中出现漏洞,因为Log4j等漏洞不断演变,仅更改true/false标志是不够的。检查配置要加强资产管理实践,请实施配置检查。当出现新的CVE时,资产需要进一步更新和配置更改,以确保可以从Log4j对其进行跟踪。在这个漏洞管理计划中,首要的是安全团队发现未知威胁的监控渠道。查找高优先级威胁需要一个可靠的过程,而不是依靠八卦或推文,而是一个主动的过程。解决遗留系统问题如果您的组织仍在使用与较新版本的Java不兼容的遗留软件,那么是时候采取行动并推动领导层(和供应商)建立强大的软件资产清单和周期性修复周期了。处理技术债务(包括未修复的遗留软件)会消耗过多的资源和带宽,同时需要加强监控和补偿控制。当Log4j出现时,安全团队有更多发言权,现在是计划升级遗留系统的好时机。内联网和气隙系统不要忽视气隙系统和内部设备通常被认为是安全的,因为如果攻击者无法访问它们,他们就无法利用它们。但这种假设对于Log4j来说是极其危险的,因为未经身份验证的请求,即使是通过其他应用程序,仍然可能导致远程代码执行(RCE)漏洞。像对待面向Internet的资产一样对待气隙系统和Intranet资产,为全面升级和配置跟踪做好准备。安全的自动缩放和部署识别云环境中可能运行自动部署或自动缩放场景的资产。请确保这些配置是安全的,并且任何未来的部署都不会使用过时的Java版本或Log4j库。这需要与开发团队合作,以确保将这些安全配置纳入未来的构建中。参考链接:https://www.darkreading.com/attacks-breaches/log4j-getting-from-stopgap-remedies-to-long-term-solutions
