思博伦环形标志
网络安全

Log4j:顶级漏洞将影响整个互联网

作者:

2021年12月9日,一个严重程度最高的漏洞被披露出来,而整个安全行业都在争分夺秒努力修复这一问题。我们详细解读其影响以及思博伦如何帮助用户应对这个最新的顶级漏洞。

这个Log4j漏洞(亦称“Log4Shell”)在12月10日被命名为CVE-2021-44228。Log4j是一种流行的开源Java日志库,以直接或间接的方式被互联网上三分之一的服务器广泛使用。目前已知,该漏洞会影响到海量用户的网络巨头,常用服务器及服务,包括Apache Web服务器、Apple iCloud、Twitter、Amazon、Microsoft、IBM、Oracle、Cisco、Google、Cloudflare、Minecraft游戏服务器,以及多种其它的服务及内容服务商。 

该漏洞的CVSS得分为10.0,即最高得分,因为这种漏洞易于被利用,并且会对许多服务器产生严重的影响。攻击者只需发送一个恶意日志字符串即可被Log4j 2.0版或更高版本最终录入日志中。这种利用方式使攻击者可以向服务器加载任意Java代码,让攻击者得以控制和利用被攻陷的系统。这种行为通常被称为远程命令/代码执行(RCE)。Log4j 2.0于2014年7月发布,且下载次数已超过40万次,有多少软件应用正在使用log4j库便可想而知。

为了应对CVE-2021-44228的危机,Log4j开发者已经发布了2.15版。但对CVE-2021-44228修复也带来了12月14日的CVE-2021-45046和12月18日的CVE-2021-45105所收录的两项全新问题。这些CVE已在2.16.0版中得到的暂时修复,并在2.17.0获得进一步的修复,而其它的更新也可望在不久后发布。

接下来怎么办?

许多攻击者都在与时间赛跑,想要充分利用这一强大的武器。他们已经开发了多种可扫瞄互联网和利用漏洞入侵的自动化工具。此外,黑客还为其APT工具集添加了新的能力。

另一方面,应用开发者正在争分夺秒将自己的解决方案升级至最新版的Log4j。然而,对代码施加更新和补丁而且需要一定的时间才能完成,更何况有些系统缺乏维护不再更新和打补丁。在这些实例中,要想预防和阻止攻击突入自己的网络,IT部门需要部署NGFW、IPS或WAF等安全控件来保护有高危漏洞的服务器。

帮助用户防范漏

为了帮助用户应对最新的顶级漏洞,思博伦CyberFlood已经发布CVE-2021-44228CVE-2021-45046攻击样例到最新的TestCoud更新里面。用户可以自动同步TestCloud来拿到样本。CVE-2021-45105也将在不久后正式发布。

为了在这一系列前所未有的危机中帮助我们的客户和各类机构,思博伦将提供一个为期30天的试用期,这样我们便可对您的安全控件开展快速验证,确保此类控件是否配置正确,以及是否能够正常发挥作用,让您能够心安理得地享受自己的假期时光。

下图显示的便是Log4j攻击CVE-2021-44228中主机间的CyberFlood网络威胁评估(CTA)调用流示例

Example of CyberFlood CyberThreat Assessment (CTA) call-flow between the hosts in the Log4j attack CVE-2021-44228

您的首席信息官和IT部门可以针对自己的NGFW或WAF运行这些攻击,验证安全基础设施是否已经更新至能够防范Log4j威胁的状态。

-     如果此类安全设备无法探测这些攻击并发出警报,您须尽快联系自己的安全厂商,更新至最新的威胁情报,或者检查自己的www访问日志,确定自己是否已经遭受攻击,是否存在任何数据泄漏,以及是否被植入某种后门软件。

-       如果您的安全设备可以探测这些攻击并发出警报,您可以参阅包含真实攻击行为的网络威胁评估-规避,在启用HTTPs和常用规避手段后再次进行测试。

Log4j漏洞影响到了互联网上三分之一的服务器。出于多种原因,并非所有的企业都能在短时间内将自己的系统升级至已修复该问题的最新版本。

思博伦可以帮助各类机构验证的物理设施或公有云上的虚拟安全控件/设备。所有现有的思博伦客户都可以通过Test Cloud获取这些最新的CVE。

联系我们的安全专家右箭头图标和您探讨应对这个最新顶级漏洞之道。

喜欢我们的内容吗?

在这里订阅我们的博客

博客订阅

标签网络安全
Hongbo Ren

思博伦业务拓展经理

任红波现任思博伦业务拓展经理,负责东亚地区云和安全业务拓展。他在网络安全、云计算、应用程序和电信技术方面拥有超过20年的经验,并为网络设备制造商、企业和服务提供商提供尖端的应用程序和安全测试解决方案。