Log4j漏洞的深度回顧

責(zé)任編輯:cres

作者:李昇

2022-03-30 13:53:41

來(lái)源:企業(yè)網(wǎng)D1Net

原創(chuàng)

Log4Shell 是針對(duì) Log4j 的漏洞利用,Log4j 是 Java 社區(qū)開(kāi)發(fā)人員常用的開(kāi)源日志庫(kù),為錯(cuò)誤消息、診斷信息等的日志記錄提供框架。

不是所有黑客都以最新的物聯(lián)網(wǎng)設(shè)備或網(wǎng)聯(lián)汽車(chē)為目標(biāo)。2020年的SolarWinds黑客事件赤裸裸地告訴人們,支撐現(xiàn)代文明的技術(shù)不但“乏善可陳”,而且還存在著漏洞。也許正是這起事件啟發(fā)了那些在圣誕假期前創(chuàng)建Log4Shell的攻擊者。
 
Log4Shell 是針對(duì) Log4j 的漏洞利用,Log4j 是 Java 社區(qū)開(kāi)發(fā)人員常用的開(kāi)源日志庫(kù),為錯(cuò)誤消息、診斷信息等的日志記錄提供框架。 Log4j 存在于世界各地公司使用的產(chǎn)品中,也包括許多中國(guó)的組織。
 
該漏洞最終能夠?qū)е聜€(gè)人信息泄露和遠(yuǎn)程代碼執(zhí)行(RCE),給企業(yè)機(jī)構(gòu)和他們的客戶造成各種不同的問(wèn)題。由于Log4j庫(kù)的功能非常全面(包括查找、嵌套和JNDI等),因此開(kāi)發(fā)者很喜歡使用它。目前已有大量利用該漏洞的嘗試,而且這一數(shù)量的增速非常驚人。
 
全世界的個(gè)人、大型企業(yè)機(jī)構(gòu)和政府機(jī)構(gòu)都將繼續(xù)討論該漏洞,而我們已經(jīng)深入了解該漏洞的運(yùn)作方式和發(fā)展方向以及在未來(lái)減輕該漏洞影響時(shí)所需要考慮的獨(dú)特因素。
 
數(shù)據(jù)竊取和遠(yuǎn)程代碼執(zhí)行漏洞
 
為找到存在漏洞的服務(wù)器而執(zhí)行全網(wǎng)掃描的服務(wù)器數(shù)量與日俱增,這使得發(fā)起者能夠竊取信息并執(zhí)行惡意代碼。
 
數(shù)據(jù)竊取是攻擊者用來(lái)鎖定、復(fù)制和傳輸敏感數(shù)據(jù)的技術(shù),攻擊者可以通過(guò)Log4j查詢表達(dá)式訪問(wèn)這些數(shù)據(jù)并且輕易地將這些數(shù)據(jù)劫持到他們所控制的系統(tǒng)。同樣,攻擊者還可以通過(guò)精心編寫(xiě)的日志行來(lái)執(zhí)行遠(yuǎn)程代碼,以便在服務(wù)器內(nèi)運(yùn)行任意命令。
 
在我們所發(fā)現(xiàn)的攻擊載體中,網(wǎng)絡(luò)應(yīng)用成為了攻擊者的第一目標(biāo),這些應(yīng)用記錄了訪問(wèn)網(wǎng)站的終端用戶與網(wǎng)站的互動(dòng)。另一個(gè)攻擊載體是DNS。為了搜索是否有任何存在漏洞的DNS解析器,攻擊者正在DNS查詢中嵌入可利用的攻擊載荷并發(fā)布這些查詢結(jié)果。
 
但企業(yè)機(jī)構(gòu)所受到的威脅遠(yuǎn)不止這些情況。鑒于全世界有幾十億臺(tái)設(shè)備運(yùn)行Java,因此許多設(shè)備中的漏洞無(wú)法得到修補(bǔ)。再加上其龐大的足跡和設(shè)備的暴露時(shí)間,我們認(rèn)為該漏洞將在未來(lái)幾年繼續(xù)對(duì)我們?cè)斐赏{。
 
發(fā)展方向——攻擊載荷和攻擊方式的多樣化
 
隨著對(duì)該漏洞的持續(xù)監(jiān)測(cè),我們發(fā)現(xiàn)該威脅正在向兩個(gè)不同的方向發(fā)展。首先在攻擊載荷方面,企業(yè)越來(lái)越依賴網(wǎng)絡(luò)應(yīng)用防火墻(WAF)等緩解措施為他們提供保護(hù)。這類(lèi)系統(tǒng)能夠掃描網(wǎng)絡(luò)請(qǐng)求中是否有可利用的字符串。一旦發(fā)現(xiàn)有此類(lèi)字符串,它們就會(huì)放棄該請(qǐng)求。
 
第二個(gè)發(fā)展方向是攻擊目標(biāo)和協(xié)議的多樣化。網(wǎng)絡(luò)應(yīng)用目前已成為主要的攻擊載體,所以企業(yè)機(jī)構(gòu)會(huì)不斷為其提供更多的保護(hù)和漏洞修補(bǔ),因此攻擊者正在將矛頭指向DNS和其他不太受到關(guān)注的協(xié)議,此類(lèi)攻擊的數(shù)量已有所增加。
 
鑒于針對(duì)該漏洞的攻擊載體類(lèi)型十分廣泛,唯一的解決方案是修補(bǔ)全部有漏洞的系統(tǒng)。但在很多情況下,企業(yè)機(jī)構(gòu)無(wú)法在第一時(shí)間全方位地了解哪些系統(tǒng)存在漏洞,因此必須采取額外的緩解措施來(lái)盡可能減少威脅面。
 
為了提供最大程度的保護(hù),凡是可以修補(bǔ)漏洞的系統(tǒng),都應(yīng)在最新版本上運(yùn)行Log4j。在其他情況下,企業(yè)機(jī)構(gòu)必須優(yōu)先運(yùn)行WAF和DNS防火墻以及零信任網(wǎng)絡(luò)分段等系統(tǒng),以便發(fā)現(xiàn)可能的漏洞。
 
從Log4j事件中吸取的教訓(xùn)
 
隨著該漏洞的擴(kuò)大和發(fā)展,我們正在研究未來(lái)如何消除它的影響。為了滿足終端用戶需求,開(kāi)發(fā)者必須將快速增加的庫(kù)、語(yǔ)言生態(tài)系統(tǒng)以及第三方基礎(chǔ)架構(gòu)和服務(wù)視為一種新常態(tài)。
 
領(lǐng)先的企業(yè)機(jī)構(gòu)不但已經(jīng)開(kāi)始評(píng)估特定庫(kù)的風(fēng)險(xiǎn),而且還通過(guò)評(píng)估該開(kāi)發(fā)社區(qū)的實(shí)踐來(lái)檢查自身的依賴性。即便進(jìn)行了此類(lèi)風(fēng)險(xiǎn)評(píng)估,漏洞還是會(huì)出現(xiàn)。因此在這種情況下,可見(jiàn)性最為重要。許多企業(yè)機(jī)構(gòu)無(wú)法發(fā)現(xiàn)存在漏洞的系統(tǒng),所以他們必須部署能夠及時(shí)做出響應(yīng)并防止被完全利用的系統(tǒng)。
 
最后,企業(yè)機(jī)構(gòu)應(yīng)采取最小權(quán)限原則,包括限制服務(wù)器、機(jī)器和軟件的訪問(wèn)權(quán)限,這樣用戶就只能訪問(wèn)執(zhí)行自身任務(wù)所需的系統(tǒng)。這可以大大減少漏洞出現(xiàn)時(shí)的威脅面。
 
Log4j漏洞對(duì)全球企業(yè)造成了復(fù)雜、高風(fēng)險(xiǎn)的威脅。由于該漏洞的威脅面巨大并且全球存在大量未修補(bǔ)漏洞的系統(tǒng),攻擊者將會(huì)繼續(xù)利用該漏洞嘗試發(fā)起攻擊并在此過(guò)程中影響許多企業(yè)機(jī)構(gòu)。但只要企業(yè)能夠努力構(gòu)建成熟的安全基礎(chǔ),就能夠具備比以往更快的恢復(fù)速度。
 

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)