7月14日,美国网络安全审查委员会发布了第一份报告《回顾2021年12月的Log4j事件》,梳理了ApacheLog4j漏洞的实际影响和未来威胁。同时指出,Log4j漏洞在全球范围内流行,并将长期存在,并在未来多年内造成持续风险。一、漏洞发现及披露自2021年11月以来,全球知名开源日志组件ApacheLog4j被曝出严重高危远程代码执行漏洞(详见表1),黑客们一直试图利用此漏洞并执行恶意代码攻击。各种类型的在线应用程序、开源软件、云平台和电子邮件服务都可能面临网络安全风险。攻击者可以远程利用此漏洞。根据业内多家网络安全公司的观察,目前的Log4j漏洞利用大多以挖矿软件为主,但攻击者也在积极尝试在易受攻击的系统上安装更多危险的恶意软件。据外媒报道,自漏洞发现以来,Steam和苹果的云服务受到影响,推特和亚马逊也遭到攻击,元宇宙概念游戏《我的世界》的数十万用户遭到入侵。美联社评论称,该漏洞可能是近年来发现的最严重的计算机漏洞。表1.Log4j漏洞披露时间表2.各方回应工业网络安全厂商在监控过程中发现了大量的漏洞利用尝试和成功利用。主要国家的网络安全监管机构纷纷发出警告,要求限期修复漏洞。(1)各国政府积极响应,发布预警应对漏洞威胁。漏洞爆发后,主要国家政府和网络安全监管机构纷纷发出预警,要求限期修复漏洞。在我国,2021年12月13日,工信部网络安全威胁与漏洞信息共享平台接到相关网络安全专业机构的报告,立即组织相关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等进行研判,报告督促Apache软件基金会及时修复漏洞,并向行业单位发布风险提示。在美国,2021年12月10日,美国国土安全部网络安全与基础设施安全局就该漏洞发布紧急警报,敦促企业采取行动。12月22日消息,美国CISA、FBI、NSA等五眼联盟其他四个国家的网络安全机构于当地时间12月22日发布联合网络安全咨询公告,警告黑客正在“积极利用”近期的Apache日志库。在log4j中发现了三个漏洞。此外,在漏洞发生后,英国国家网络安全中心整合了新流程来改进未来的漏洞管理指南,并在整个Log4j事件中加以利用。德国网络安全组织就该漏洞发布了“红色警报”,比利时国防部因担心与该漏洞相关的网络攻击而关闭了部分计算机网络。(2)安全企业积极排查,及时修补产品漏洞。安全公司正在加紧调查其产品的影响并修补其产品。同时,他们敦促用户应用这些更新,强调及时解决漏洞的紧迫性和广泛性。2021年12月13日,西门子在其部分产品线中发现了ApacheLog4j漏洞,未经身份验证的远程攻击者可以利用该漏洞在易受攻击的系统上执行代码。该公司15日更新受上述两个漏洞影响的产品多达35款。除了确定各种缓解措施外,西门子还建议用户使用适当的机制来保护对设备的网络访问。为了在受保护的IT环境中运行设备,西门子建议根据西门子工业安全操作指南配置环境。另一家自动化巨头施耐德电气也在当天的咨询报告中表示,将继续评估Log4j漏洞对其产品的影响,并在特定产品的缓解信息可用时通过其网络安全支持门户向客户提供更新。知名工业网络安全公司Claroty于2021年12月14日评估了该漏洞对SCADA、ICS和OT的影响,其安全研究团队Tem82也在致力于创建更多的概念验证来重现该漏洞,预计自动化供应商合作伙伴可以使用这些概念证明来测试他们的产品是否易受攻击。2021年12月,思科对其150多种产品进行了调查,以发现Log4j漏洞。到目前为止,思科已经确定了三款存在漏洞的产品,并确定了23款产品不存在该漏洞。3、影响深远2021年底爆发的Log4j安全漏洞堪称互联网历史上破坏力最大的漏洞之一。该漏洞的影响范围和危害程度堪比2017年的“永恒之蓝”漏洞。自爆发以来,Log4j漏洞影响的严重性和广度开始出现在各个领域,并持续增加。(1)持续时间长美国网络安全审查委员会发布的第一份报告明确指出,Log4j是一个开源软件,开发者已经将其集成到数百万个系统中。这种无孔不入、无处不在的软件中的漏洞能够影响世界各地的公司和组织(包括政府)。Log4j漏洞自2021年11月曝光后,已成为未来多年持续风险的“顽疾”。时间继续存在于各种系统中。与此同时,美国网络安全审查委员会预测,鉴于Log4j无处不在,易受攻击的版本将在未来十年内保留在系统中,我们将看到不断发展的利用漏洞的方式,所有组织都应该具备发现这些漏洞的能力升级易受攻击的软件,以及随着时间的推移维护这些漏洞管理能力的能力。(2)影响广泛据统计,超过35863个开源软件Java组件依赖Log4j,这意味着超过8%的软件包中至少有一个版本会受到该漏洞的影响。漏洞在依赖链中越深,修复它的步骤就越多。据云安全专家评估,每秒有超过1000次尝试利用Log4j漏洞。Log4j漏洞不仅会影响直接使用该库的基于Java的应用程序和服务,还会影响许多其他依赖它的流行Java组件和开发框架,包括但不限于ApacheStruts2、ApacheSolr、ApacheDruid、ApacheFlink、弹性搜索,阿帕奇卡夫卡。随着危机的持续发酵,Log4j漏洞造成的损失目前无法准确评估。2022年6月,美国CISA发出警告,强调Log4Shell漏洞已影响超过1800款产品,产品安全团队需要格外注意识别任何包含有风险的Log4j包的软件。目前,黑客仍在利用Log4Shell漏洞,专门针对未打补丁、面向Internet的VMwareHorizo??n和UnifiedAccessGateway服务器。在《2021年终漏洞快速查看》报告中,CISA强调了Log4j漏洞可能产生广泛影响,自报告发布以来,受影响的产品总数增加了11.6%。随着漏洞被跟踪,受Log4j漏洞影响的产品总数可能会增加。(3)危害大自2021年底Log4j漏洞爆发以来,Mirai、Muhstik等多个僵尸网络家族均利用该漏洞进行传播。与此同时,该漏洞正在迅速变异,绕过现有的缓解措施,并吸引了越来越多的黑客。CheckPoint的网络安全研究人员警告说,Log4j漏洞正在迅速变异,已经产生了60多个更强大的变体,所有变体都在不到一天的时间内产生。自2022年4月以来,针对VMwareHorizo??n服务器的Log4j攻击持续不断且有增无减。朝鲜黑客组织Lazarus一直在利用Log4j远程代码执行漏洞在未打补丁的VMwareHorizo??n虚拟桌面平台上部署勒索软件和其他恶意包。2021年12月,比利时国防部网络近日被不明攻击者成功攻击。攻击者利用Apache日志库log4j的巨大漏洞进行攻击。国防部确认此次攻击成功利用了log4j漏洞。4.应对措施鉴于Log4j漏洞的普遍存在,综合考虑Log4j漏洞的利用规模、漏洞利用的难易程度、漏洞的覆盖面广等因素,该漏洞对数字设备的安全影响显着。生态系统。全球私营和公共部门合作伙伴应采取措施积极应对。(1)继续对Log4j漏洞保持高度警惕由于Log4j漏洞将在未来几年长期存在,所有组织都应具备发现和升级易受攻击软件的能力,以及维护这些漏洞管理的能力许久。所有组织都应继续主动监控和升级易受攻击的Log4j版本,首先应用软件升级,谨慎使用缓解措施,并避免可能造成长期暴露的错误情况(例如,暴露易受攻击面的错误配置)。同时,应用成熟的业务流程,防止易受攻击的版本再次引入,并采取基于风险的方法修复Log4j漏洞,以解决其他严重漏洞。(2)及时评估安全漏洞风险各企业需要根据Log4j漏洞的严重程度,快速评估自身业务运营的潜在风险,制定并实施行动计划。目前对Log4j漏洞事件做出最有效响应的组织已经拥有技术资源和成熟的流程来识别易受攻击的产品资源并评估潜在风险。减少Log4j和其他广泛使用的开源软件中的漏洞对生态系统构成风险的可能性的一种行之有效的方法是确保代码是根据行业接受的安全编码实践开发的,并由安全专家进行相应的审查。(三)加强漏洞规范化管理。组织应积极开展由Linux基金会和开源安全基金会牵头的开源软件安全动员计划,呼吁业界采取行动开发软件组件框架,以加快未来漏洞的发现和响应。同时,组织应对系统运行的高危软件漏洞进行全面评估、汇总、分类和优先级排序,提高漏洞响应机制的成熟度。同时,组织应建立一致的安全开发流程、软件安全评估和漏洞管理操作流程,以及标准化的补丁创建和协调披露机制。5.结论根据Gartner的相关统计,到2025年,30%的关键信息基础设施组织将遭遇安全漏洞,这将导致关键信息基础设施运行停止或关键信息物理系统停止运行。面对日益严峻的安全漏洞形势,我国迫切需要加快网络安全漏洞治理体系建设,提高我国关键基础设施漏洞威胁防御水平,充分发挥漏洞预警的重要作用网络空间安全管理中的管理。
