自2021年12月7日公開(kāi),Apache Log4j 漏洞被認(rèn)為是“2021年最重要的安全威脅之一”,稱它為“核彈級(jí)”漏洞真的不是夸張。該漏洞被披露已有1個(gè)多月時(shí)間,我們一起來(lái)回顧下,這場(chǎng)“核爆炸”究竟帶來(lái)了哪些連鎖反應(yīng)?
被披露僅1個(gè)多月時(shí)間,以CVE-2021-44228漏洞為起始點(diǎn),Apache Log4j 總計(jì)爆發(fā)8個(gè)漏洞,其中包括5個(gè)遠(yuǎn)程代碼執(zhí)行漏洞、1個(gè)SQL注入漏洞、2個(gè)拒絕服務(wù)漏洞,高危以上漏洞占據(jù)了7個(gè)。
Apache Log4j 漏洞信息表
該漏洞還被廣泛應(yīng)用于勒索、挖礦、僵尸網(wǎng)絡(luò)上,黑產(chǎn)組織利用漏洞發(fā)起多個(gè)攻擊事件。深信服對(duì)此梳理了完整的事件演進(jìn)時(shí)間線:
12月13日,深信服捕獲到勒索病毒Tellyouthepass最新變種使用CVE-2021-44228漏洞專(zhuān)門(mén)針對(duì)某OA系統(tǒng)對(duì)Windows和Linux雙平臺(tái)進(jìn)行攻擊,點(diǎn)擊了解:《深信服EDR成功攔截利用Apache Log4j2漏洞Tellyouthepass 勒索,警惕攻擊OA系統(tǒng)》
12月15日,深信服捕獲到專(zhuān)門(mén)針對(duì)某OA系統(tǒng)的利用CVE-2021-44228漏洞進(jìn)行傳播的挖礦病毒,并進(jìn)行了深入分析,點(diǎn)擊了解:《發(fā)現(xiàn)針對(duì)某OA的Log4shell漏洞利用的新型挖礦病毒W(wǎng)hiteLotusMiner》
重點(diǎn)關(guān)注:關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)
值得關(guān)注的是,在Apache Log4j2遠(yuǎn)程執(zhí)行代碼漏洞被披露僅11天后,已有攻擊者利用此漏洞成功攻擊比利時(shí)國(guó)防部計(jì)算機(jī)網(wǎng)絡(luò)。發(fā)言人證實(shí)其部分計(jì)算機(jī)網(wǎng)絡(luò)處于癱瘓狀態(tài),如郵件系統(tǒng)已經(jīng)停機(jī)數(shù)日。
據(jù)媒體報(bào)道稱,比利時(shí)國(guó)防部是第一個(gè)報(bào)告該漏洞的政府受害者,但鑒于Apache Log4j 漏洞在公共和私營(yíng)部門(mén)流行的軟件中無(wú)處不在,它不可能是最后一個(gè)。
與此同時(shí),已有勒索團(tuán)伙將Log4j2漏洞武器化,并擁有完整的攻擊鏈,嚴(yán)重威脅各國(guó)關(guān)基單位的安全與利益。保障關(guān)鍵信息基礎(chǔ)設(shè)施安全,強(qiáng)化應(yīng)急響應(yīng)能力,這是Apache Log4j 漏洞攻擊事件給我們帶來(lái)的啟示。
為什么關(guān)鍵信息基礎(chǔ)設(shè)施極易成為攻擊者利用Log4j 漏洞進(jìn)行攻擊的目標(biāo)?
我們知道,Log4j 漏洞不僅存在于組織面向Internet的資產(chǎn)中,還存在于內(nèi)部系統(tǒng)、第三方應(yīng)用程序、SaaS和云服務(wù)等環(huán)境中。對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位來(lái)說(shuō),面對(duì)龐雜的資產(chǎn)情況,難以厘清哪些資產(chǎn)完全暴露在威脅之下。
其次,關(guān)鍵信息基礎(chǔ)設(shè)施所使用軟件可能包含Log4j 漏洞的受信任的第三方 API,或可能包含特定組件的所有依賴項(xiàng)(包括 Log4j 庫(kù))中。由于組織缺乏API行為的可見(jiàn)性及漏洞埋藏較深,識(shí)別受影響的應(yīng)用程序變得異常困難。
關(guān)鍵信息基礎(chǔ)設(shè)施所使用的軟件可能由第三方供應(yīng)商提供,但針對(duì)Log4j 漏洞,未必所有的供應(yīng)商都有可用的補(bǔ)丁,因此當(dāng)前看似“風(fēng)平浪靜”,實(shí)則暗藏安全風(fēng)險(xiǎn)。
解決方案:長(zhǎng)效治理防護(hù),筑就安全防線
當(dāng)前,Log4j1.x已經(jīng)停止維護(hù),解決1.x版本漏洞,需要升級(jí)到Log4j2的新版本。未來(lái),攻擊者還會(huì)如何利用Apache Log4j2 組件漏洞對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行攻擊不得而知。但可以確信的是,該漏洞在短時(shí)間難以全面排查,且一旦威脅快速升級(jí),難以及時(shí)規(guī)避。
如果只是采用單次的風(fēng)險(xiǎn)排查和應(yīng)急處置,將無(wú)法持續(xù)有效控制,風(fēng)險(xiǎn)治理異常困難。組織應(yīng)基于威脅情報(bào)持續(xù)監(jiān)測(cè)、快速響應(yīng),建立長(zhǎng)效治理機(jī)制,及時(shí)規(guī)避風(fēng)險(xiǎn)。
針對(duì)該漏洞及后續(xù)進(jìn)化版本,深信服基于深度研究、持續(xù)跟進(jìn),不斷更新產(chǎn)品內(nèi)置規(guī)則、云端威脅情報(bào),并根據(jù)用戶實(shí)際情況提供Apache Log4j2組件漏洞長(zhǎng)效治理解決方案,從風(fēng)險(xiǎn)排查、安全加固、長(zhǎng)效治理三個(gè)階段,形成整體全面的建設(shè)思路,幫助用戶徹底解決該漏洞帶來(lái)的安全隱患。
深信服Apache Log4j2 組件漏洞長(zhǎng)效治理解決方案建設(shè)思路
1. 專(zhuān)業(yè)檢測(cè)工具匹配不同需求,快速排查安全隱患
是否存在漏洞相關(guān)組件:通過(guò)深信服云鏡配合0Day插件包,快速發(fā)現(xiàn)安全風(fēng)險(xiǎn);
是否存在利用漏洞的攻擊行為:通過(guò)深信服終端檢測(cè)響應(yīng)平臺(tái) EDR 的威脅狩獵模塊,對(duì)漏洞利用、惡意軟件執(zhí)行繞過(guò)、持久化等操作進(jìn)行檢測(cè)。
2. 專(zhuān)項(xiàng)檢測(cè)防護(hù),見(jiàn)招拆招,針對(duì)性有效加固
發(fā)現(xiàn)內(nèi)部存在 Apache Log4j2 組件:深信服安全服務(wù)人員可協(xié)助用戶更新升級(jí)相關(guān)組件到最新版本;
發(fā)現(xiàn)繞過(guò)官方補(bǔ)丁的攻擊行為:通過(guò)深信服下一代防火墻 AF最新的漏洞攻擊特征識(shí)別庫(kù),有效識(shí)別漏洞并實(shí)時(shí)更新。
3. 7*24小時(shí)持續(xù)監(jiān)測(cè),全球威脅5分鐘同步,建立長(zhǎng)效防護(hù)機(jī)制
從事件演變過(guò)程來(lái)看,攻擊者不斷升級(jí)其攻擊技術(shù),修復(fù)補(bǔ)丁、安全策略等相關(guān)措施都存在被繞過(guò)的可能:通過(guò)深信服安全運(yùn)營(yíng)團(tuán)隊(duì) 7*24 小時(shí)持續(xù)監(jiān)測(cè)漏洞攻擊行為,配合云端威脅情報(bào),全球威脅5分鐘同步,通過(guò)“本地 + 云端”的方式第一時(shí)間規(guī)避該漏洞帶來(lái)的安全隱患。
針對(duì)Apache Log4j 漏洞,深信服全面梳理事件發(fā)展過(guò)程,幫助用戶更深入了解其影響面,以及如何針對(duì)Apache Log4j2 組件漏洞進(jìn)行長(zhǎng)效治理。
