在Log4Shell被披露一年后,大多数公司仍然暴露在对商业组织构成重大威胁。安全研究人员表示,许多系统仍未针对该漏洞进行修补,企业在发现、修复和预防漏洞方面面临挑战。ContrastSecurity首席安全信息官DavidLindner表示:“大约64%的Java应用程序使用了Log4j,其中只有50%的应用程序已更新到完全固定的版本,这意味着攻击者将继续以它为目标。”.至少目前,攻击者仍在寻找通过Log4j进行攻击的方法。攻击次数少于预期Log4j(CVE-2021-44228)(通常称为Log4Shell)中的一个缺陷存在于Log4j用于数据存储和检索的Java命名和目录接口(JNDI)中。它可以帮助远程攻击者控制易受攻击的系统。鉴于几乎所有Java应用程序环境都使用Log4J,安全研究人员认为它是近年来最具威胁性的漏洞之一,因为它无处不在,而且攻击者可以相对轻松地利用它。在过去一年中,有大量报告称攻击者利用此漏洞作为访问目标网络的手段。其中许多攻击涉及来自朝鲜、伊朗和其他国家/地区的国家支持的APT组织。例如,在11月,美国网络安全和基础设施安全局(CISA)警告说,伊朗政府支持的APT组织利用未修补的VMwareHorizo??n服务器中的Log4j漏洞在联邦网络上部署加密软件和凭据。集电极。其他公司,如微软,也报告了类似的行为。虽然还有其他关于出于经济动机的网络犯罪团伙利用Log4j的报告,但公开报告的涉及Log4的违规行为的实际数量仍然相对较低,尤其是与涉及ExchangeServer漏洞(例如ProxyLogon和ProxyShellCompare)的事件相比。Tenable的首席安全官BobHuber表示,鉴于漏洞的简单性和广泛的攻击路径,报告的攻击规模和范围出乎意料地低于预期。“直到最近,我们才看到一些针对性很强的报道,例如最近的CISA民族国家活动,”Huber说。威胁未减然而,安全研究人员指出,这并不意味着Log4j的威胁在过去一年中有所减少。首先,很大一部分企业仍然像一年前一样容易受到威胁。根据最近与该漏洞相关的Tenable遥测分析,截至10月1日,72%的企业易受Log4j攻击,全球只有28%的组织完全修补了该漏洞。但是当这些企业在他们的环境中添加新的资产时,他们往往会一次又一次地受到Log4j漏洞的攻击。Huber说,假设公司在软件的构建管道中构建修复程序,再次受到Log4j漏洞攻击的机会将会减少。是否会再次出现Log4j漏洞攻击,很大程度上取决于公司的软件发布周期。此外,尽管网络安全社区几乎普遍意识到该漏洞,但由于应用程序使用Log4j的方式,在许多企业中仍然很难找到易受攻击的版本。Sonatype的首席技术官BrianFox说,一些应用程序可能将开源日志记录组件作为其应用程序的直接依赖项,而在其他情况下,一些应用程序可能将Log4j作为交叉依赖项或其他应用程序的依赖项。.Fox说:由于过渡依赖项是从您选择的直接依赖项中引入的,因此您的开发人员可能并不总是知道或直接看到它们。Fox说,当Apache基金会首次披露Log4Shell时,该公司不得不发送数千封内部电子邮件,在电子表格中收集结果,并递归扫描文件系统。这不仅花费了公司宝贵的时间和资源来修补组件,而且还延长了漏洞的恶意影响范围。来自Sonatype维护的MavenCentralJava存储库的数据显示,当前Log4下载的35%仍然来自该软件的易受攻击版本。许多公司甚至在做出响应之前仍在尝试建立他们的软件清单,并且没有意识到传递依赖性的影响。基于上述所有问题,国土安全部审查委员会在今年早些时候得出结论认为,Log4是一种地方性安全风险,组织需要多年应对。委员会成员评估,Log4j的易受攻击实例将在未来许多年内保留在系统中,并使企业面临攻击风险。积极影响跟踪该漏洞的安全研究人员表示,Log4j的一个积极成果是它引起了人们对软件组成分析和软件物料清单(SBOM)等实践的高度关注。企业在确定他们是否存在漏洞或环境中可能存在的漏洞时面临的挑战促使人们更好地理解对其代码库中所有组件的可见性的需求,尤其是那些来自开源和第三方组件的组件。ReversingLabsCISOMatthewRose表示:对Log4J问题的调查再次证实,除了SBOM跟上DevOps速度之外,还需要更好的软件供应链证明。应用程序安全和架构团队已经意识到,仅仅在源代码、API或开源包等部分寻找风险是不够的。他们现在意识到,充分理解应用程序的架构与查找SQLI或跨站点脚本错误(XSS)一样重要。参考来源:https://www.darkreading.com/application-security/one-year-later-log4shell-exposed-attack
