2021年12月,一个“核弹级”漏洞(Log4Shell)被曝光,惊动了全球企业安全人员的美梦。Log4j漏洞利用成本极低,可直接执行任意代码,接管目标服务器。其潜在破坏程度和影响可以说是2021年最高的,短时间内全球近一半的企业网络遭到攻击,并在网络上迅速传播开来。那么Log4j漏洞到底是什么?Log4j漏洞的背景、利用攻击和环境措施,以及从AkamaiTechnologies,Inc.(Akamai)获得的经验教训,Akamai是保护和提供数字体验的可信解决方案提供商进行了详细的回顾性分析。漏洞利用有多种形式,并且具有广泛的攻击面。Log4j是Apache的开源项目。通过使用Log4j,可以控制日志信息传输到控制台、文件、GUI组件的目的地,甚至套接字服务器、NT事件记录器、UNIXSyslog守护进程等也可以控制每条日志的输出格??式。通过定义每条日志信息的级别,也可以更详细地控制日志的生成过程。这些都可以通过配置文件灵活配置,无需修改应用代码。Log4j库的流行,以及它提供的丰富的功能,如查找、嵌套和JNDI,使得这个漏洞对攻击者开放。这些强大的功能为开发者提供了便利,同时也让攻击者有机可乘,允许他们传递请求导致数据泄露或远程代码执行(RCE)。JNDI(Java命名和目录接口)是一种内置于Java开发和运行时环境中的机制,它简化了通过通用接口查询各种目录服务以获取信息的过程。如果没有JNDI查找,这个漏洞就不会存在。JNDI不仅允许查询Java运行时环境中的本地数据,还允许查询DNS和LDAP等远程系统。攻击者可以将JNDI与远程系统、env查找和嵌套相结合,以创建可以通过添加到要记录的文本来泄露数据的有效负载。只要将精心设计的攻击载荷传递给Log4j,目标环境的数据就很容易泄露。简而言之,只要运行在某个环境中的软件包含可以通过Log4j查找表达式访问的易受攻击的代码,攻击者就可以轻松地将此环境中的信息强制传输到攻击者控制的系统上。此外,某些Java版本中的JNDI实现默认允许某些目录服务直接或间接地使用远程代码响应查询,然后查询机器可以在本地执行这些代码。例如,在易受攻击的安装中,LDAP目录服务提供程序允许LDAP服务器使用称为引用的东西来响应查询。此参考列出了将在本地下载和执行代码的远程位置。这些极具威胁性的攻击需要将特制消息传递给Log4j,攻击者会利用任何机会让受攻击的系统记录其提供的信息。根据Akamai的观察,基于Web的应用程序是目前主要的攻击目标,它们被攻击的频率高于任何其他攻击目标。不过,值得注意的是,任何服务都可以:运行Java利用Log4j的易受攻击版本记录攻击者提供的任何信息(URL、标头、cookie、查询等)此外,Akamai还观察到另一种针对DNS的攻击向量——通过在DNS响应中嵌入攻击有效载荷来构建世界攻击环境。Log4j是Java世界中使用最广泛的日志记录库之一,全世界有数十亿台设备运行Java。可想而知,该漏洞的实际威胁面远超我们的想象,其严重性不言而喻。Akamai建议及时修补系统并正确实施缓解措施。随着时间的推移,攻击者可用于针对Log4j漏洞的攻击媒介数量不断增加,唯一真正的解决方案是安装nice补丁。作为回应,Akamai提出了一些建议的行动方案:对于可以打补丁的系统,立即打补丁。这提供了一个理想的保障,以确保您运行的是最新版本的Log4j。如果您已确定易受攻击的系统并且出于客观原因无法立即升级Log4j,则应使用以下设置将威胁面降至最低:对于Log4j2.10及更高版本,传递“-Dlog4j2.formatMsgNoLookups=true”,这会禁用查找表达式。对于Java,请确保您的系统具有以下设置:com.sun.jndi.ldap.object.trustURLCodebase=falsecom.sun.jndi.rmi.object.trustURLCodebase=false以运行WAF(例如Akamai出色的Kona解决方案)来保护您的所有Web应用程序,以帮助过滤掉攻击企图。这种保护应该适用于内部和外部服务器。运行AkamaiEnterpriseThreatProtector等DNS防火墙,以检测并阻止在您的环境中横向移动的可疑DNS攻击负载。运行工具以全面监控整个环境中正在运行的内容,包括本地物理机和云环境。使用AkamaiGuardicoreSegmentation提供的工具监控您环境中运行的所有内容,以发现您之前可能不知道存在的易受攻击的应用程序。尽可能减少涉及受影响应用程序的通信。利用基于身份的分段(例如AkamaiGuardicoreSegmentation)来限制可以与之通信的易受攻击系统。Akamai还建议在设计和执行补丁策略时实施这些缓解策略可以显着降低易受攻击系统的风险。Akamai利用自身优势对漏洞风险进行量化评估。随着Log4j漏洞危机的持续发酵,其风险程度也引起了大家的密切关注。对此,Akamai威胁研究实验室利用自身对全球海量数据中心的监控能力,从全球200多个不同行业、不同规模的数据中心收集相关数据,评估Log4j漏洞给企业带来的实际风险:二-所有检查的Java服务器中有三分之一使用易受攻击的Log4j框架。91%的研究数据中心都在运行Java服务器端应用程序;在这些数据中心中,超过40%的数据中心拥有面向Internet的Java服务器。在查看出站通信模式时,我们研究的绝大多数Java应用程序都是通过少数几个端口进行通信的。分析出站通信模式可以帮助组织检测异常行为并减轻Log4Shell带来的一些风险。通过探索Java服务器的通信模式,Akamai威胁研究实验室发现限制允许来自数据中心不同服务器和进程的通信非常重要。识别一个进程第一次与目标端口通信的进程,该进程迄今已通过一组特定的端口进行通信,可以有效地识别攻击企图,并为安全和IT从业人员提供必要的信息,以帮助它检测和防御环境中的异常,最终阻止Log4j漏洞利用攻击,并允许正常的业务运营保持不间断。据悉,全球数百个数据中心使用AkamaiGuardicoreSegmentation实现进程级网络监控和相关措施的实施。因此,Akamai可以观察网络内的所有网络连接,并可以研究数据中心和云网络内以及跨越其安全边界的网络通信模式,从而总结出Log4j漏洞给我们的数字生活带来的风险的总体规模.参考。Log4j漏洞的爆发给我们敲响了网络安全的警钟,每个企业都应该准备一套应对策略以备不时之需。Akamai对Log4j漏洞的分析研究,明确了事件的性质,明确了缓解措施,为网络安全人员抵御安全风险提供了重要参考。
