经过近两年的采用Covid-19和混合动力工作锻炼的主要网络和安全变化,疲惫不堪的IT网络和安全团队不需要另一个大问题来照顾,但他们有一个:潜在的潜在伤害最近披露的漏洞在开源Java-logging Apache Log4j软件中。
Log4J或Log4Shell已达到很长一段时间 - 它于2001年1月发布 - 广泛用于各种企业和消费者服务,网站和应用程序。专家将系统描述为易于使用的常用实用程序,以支持客户端/服务器应用程序开发。
log4j虚弱,定义CVE-2021-44228和CVE-2021-45046在国家漏洞数据库中,基本上让一个未经身份验证的远程演员控制受影响的服务器系统并获得公司信息的访问或释放拒绝服务攻击。
问题有一个补救措施,所以组织应该立即升级到log4j 2.17.0版专家们说,在两座CVES中受到保护。
尽管如此,漏洞的影响可能是广泛的,因为它已经在野生中如此之长,因此被广泛使用了。LOG4J库几乎嵌入在几乎每一个Internet服务和应用程序中,包括Twitter,亚马逊和微软,据检查点。
“Log4J蠕虫可能会损坏关键的基础设施,它已经是一个国家安全威胁,”Tom Kellermann说,网络安全主管VMware的策略。“糟糕的国家行为者已经在说话时已经利用它。”
例如,检查点表示,它已经看到超过280万次利用该漏洞,其中46%以上由12月16日由已知的恶意群体制作。“我们迄今已被检测到47%的企业爆炸物全球网络,“检查点陈述。
思科的Talos安全研究单位陈述它已经看到尝试在电子邮件中放置log4j java命名和目录接口(JNDI)攻击字符串。“此时我们尚未确定尝试使用电子邮件触发漏洞的广泛电子邮件广告系列。它可能是批评,因为许多威胁演员和研究人员基本上尝试一切试图找到最终命中LOG4J的东西,“该组陈述。
“The biggest issue for enterprise customers is the amount of systems that could be impacted because logging systems are so widespread and while Internet facing servers might be highly vulnerable, it’s the downstream servers linked to them that are also problematic,” said Nick Biasini, head of outreach with Cisco Talos. “In addition organizations batch process logs that may not be processed for weeks so the exploit effects will be felt a long time out.”
“Log4J漏洞非常普遍,可以影响企业应用程序,嵌入式系统及其子组件,”Gartner Research的研究总监Jonathan Care在A中表示陈述。“基于Java的应用程序,包括Cisco WebEx,MINECRAFT和FILESILLA FTP都是受影响程序的所有示例,但这绝不是一个详尽的列表。脆弱性甚至影响火星2020直升机使命,聪明才智,它利用Apache log4j进行事件日志记录。“
注意指出,安全社区已创建名单编目易受攻击的系统它包括主要网络球员,如思科,杜松,阿里斯塔,帕洛阿尔托, 和VMware.以及其他大型行业球员如IBM.,AWS和Google。
“但是,重要的是要注意,这些列表不断变化,因此如果不包括特定的应用程序或系统,请不要将其视为保证它不会受到影响,”护理说明。“曝光此漏洞很可能,即使特定的技术堆栈不使用Java,安全领导者也应预测关键供应商系统 - SaaS供应商,云托管提供商和Web服务器提供商 - ”护理说明“。
修复
有许多企业可以做的事情响应log4j漏洞专家说。
“企业用户应立即部署LOG4J 2.16修补程序,但它们也可以忽略出站流量来禁止新连接,”Kellermann说。“他们还需要监测这些环境中的异常交通流,并扩大其威胁狩猎能力。”
VMware表示,它已在许多产品中响应了Log4J情况。例如,已释放NSX分布式IDS / IPS和NSX网络检测和响应(NDR)签名,检测log4j利用尝试,包括在野外看到的混淆方法。这些签名将检测并防止尝试利用漏洞,而不管始发,VMware都表示。
思科,帕洛阿尔托,AWS等也对该脆弱性做出了回应。
Gartner的护理表示,网络安全领导者需要确定和修复这种脆弱性绝对和立即优先事项。
“在您的责任领域内的每个应用程序,网站和系统的详细审计开始,该责任在互联网连接或可以被视为公开。这包括自主的供应商产品和基于云的服务的安装,“护理说。“特别注意包含敏感操作数据的系统,例如客户详细信息和访问凭据。”
一旦这个审计完成,将注意力转向远程员工,并确保他们更新他们的个人设备和路由器,该路由器在安全链中形成一个重要的链接,详细说明。
“这可能需要一个主动,所涉及的方法,因为只要简单地发布指令列表是不够的,给定的易受攻击的路由器将潜在的入口点提供给关键企业应用程序和数据存储库”注意。“您需要更广泛的IT团队的支持和合作。”
美国网络安全和基础设施安全局(CISA)推荐组织在此漏洞中占用三个额外的步骤:“逐步逐步完成安装LOG4J的外部面向设备;确保您的安全运营中心正在落入上面的类别的设备上的每一个警报;并使用自动更新的规则安装Web应用程序防火墙(WAF),以便您的SOC能够集中更少的警报。“
O.log4j活动
- IBM的X-Force创建了一个扫描工具来检测log4shell。您可以在这里访问它,免费:https://github.com/xforcered/scan4log4shell.。
- Microsoft表示,由于此漏洞位于Java库中,Java的跨平台性质意味着漏洞在许多平台上可利用,包括Windows,MacOS和Linux。随着基于Java的应用程序可以直接或间接地利用log4j 2,组织应联系应用程序供应商或确保其Java应用程序正在运行最新的最新版本。使用log4j 2的开发人员应尽快将最新版本的Log4j纳入其应用程序以保护用户和组织。
- 微软也陈述Azure应用程序服务和函数不会在托管运行时分发log4j,例如Tomcat,Java SE,JBoss EAP或函数运行时。但是,应用程序可能会使用Log4J并易于这种漏洞。建议客户应用最新的log4j安全更新并重新部署应用程序。
- 思科踝关节发布了CVE-2021-44228和CVE-2021-45046的七个新的CLAMAV签名。还发布了一个新的Snort签名ID,58795。