Gurucul首席执行官Saryu Nayyar表示,“我无意对Log4j漏洞 ( CVE-2021-44228 )(称为Log4Shell)危言耸听,但这个漏洞非常糟糕。”
首先,Log4j是一个普遍存在的日志库,被数以百万计的计算机广泛使用。其次,美国网络安全与基础设施安全局(CISA)局长表示,这是她几十年职业生涯中见过的最严重的漏洞,许多安全专家也同意这一点。第三,研究人员表示,网络攻击者已经在每分钟数百次地利用这个漏洞。事实是,Log4Shell相对来说比较容易被利用,因此即使是技术水平较低的黑客也可以利用它。
Log4j是Apache软件基金会的开源软件。正如The Conversation所解释的,这个日志库被广泛用于记录诸如常规系统操作和错误之类的事件,并传递关于这些事件的诊断消息。Log4j中的一个特性允许软件用户指定定制代码来格式化日志消息。这一特性还允许第三方服务器提交可以在目标计算机上执行各种操作(包括恶意操作)的软件代码。利用该漏洞的结果是,攻击者可以远程控制目标服务器。
攻击者抢占先机
在 12 月中旬发现该漏洞的几周内,据报道就有大量网络威胁行为者已经创建了用于快速大规模利用此漏洞的工具包。Log4Shell 也成为了在全球范围内活动的勒索软件和僵尸网络团伙的宠儿。这个漏洞的真正危险在于,有很多方法可以利用它达到恶意目的。
Log4j在业务系统中有多流行?Wiz和Ernst & Young对200多个企业拥有数千个云帐户的云环境进行的分析表明,其中93%的环境存在漏洞风险。
谷歌研究人员发现,在大型Java包存储库Maven Central上,超过8% 的包至少有一个版本受到此漏洞的影响,按所有生态系统影响标准衡量,这是一个“巨大”的数量。
所以,这个漏洞的存在相当广泛。至于对全球的影响,现在下结论还为时过早。这在很大程度上取决于组织如何应对这种威胁。
每个人都应该采取行动
对于每个受此影响的人来说,如果这种脆弱性存在于面向公众的系统中,那么无论是在商业上还是在道德上,都有必要立即采取措施来减轻该漏洞。当然,没有企业希望自己的系统容易受到攻击,从而导致数据被破坏或被盗,并可能导致严重的业务中断。
CISA发布了一份“立即行动”清单,组织采取这些行动来纠正Log4Shell所带来的风险。首要行动是通过确定哪些资产使用Log4j软件及其严重程度,然后应用适当的补丁。
在此之后,企业可以模拟假定受到了攻击,并在系统中寻找恶意活动的迹象,并监视可能表明正在进行攻击的奇怪流量模式或行为。
您的安全工具有多有效?
依赖于传统的基于规则的检测和模式匹配的安全工具可能很容易在此漏洞利用的早期捕获一些由注入的恶意软件执行的命令。然而,随着 Log4Shell 的变体具有更好的执行策略,传统的安全信息和事件管理 (SIEM) 以及扩展检测和响应 (XDR) 工具可能难以识别攻击,除非工具供应商对规则库进行非常频繁的更新。那是不切实际的。采用包括机器学习、人工智能和行为分析等一些高级检测方法的分层安全方法也至关重要。
每个组织都应该有一个缓解计划,以防将来出现类似的情况。无论是关闭有问题的软件,还是立即打补丁并在重新投入生产之前对补丁进行测试,团队都需要在数小时甚至数分钟内准备好主动响应。
Log4Shell给每个人敲响了警钟。在下一个漏洞出现之前,我们不应该对此次视而不见。数据显示,90%的网络安全事件和软件漏洞被利用有关,在软件开发期间通过 静态代码检测可以帮助开发人员减少30%-70%的安全漏洞,大大提高软件安全性。少出现一个安全漏洞,也就意味着为企业网络安全多一份保障。