——

　　Log4j漏洞

　　這個Log4j漏洞（亦稱“Log4Shell”）在12月10日被命名為CVE-2021-44228。Log4j是一種流行的開源Java日志庫，以直接或間接的方式被互聯(lián)網(wǎng)上三分之一的服務器廣泛使用。目前已知，該漏洞會影響到海量用戶的網(wǎng)絡巨頭，常用服務器及服務，包括Apache Web服務器、Apple iCloud、Twitter、Amazon、Microsoft、IBM、Oracle、Cisco、Google、Cloudflare、Minecraft游戲服務器，以及多種其它的服務及內(nèi)容服務商。

　　該漏洞的CVSS得分為10.0，即最高得分，因為這種漏洞易于被利用，并且會對許多服務器產(chǎn)生嚴重的影響。攻擊者只需發(fā)送一個惡意日志字符串即可被Log4j 2.0版或更高版本最終錄入日志中。這種利用方式使攻擊者可以向服務器加載任意Java代碼，讓攻擊者得以控制和利用被攻陷的系統(tǒng)。這種行為通常被稱為遠程命令/代碼執(zhí)行（RCE）。Log4j 2.0于2014年7月發(fā)布，且下載次數(shù)已超過40萬次，有多少軟件應用正在使用log4j庫便可想而知。

　　為了應對CVE-2021-44228的危機，Log4j開發(fā)者已經(jīng)發(fā)布了2.15版。但對CVE-2021-44228修復也帶來了12月14日的CVE-2021-45046和12月18日的CVE-2021-45105所收錄的兩項全新問題。這些CVE已在2.16.0版中得到的暫時修復，并在2.17.0獲得進一步的修復，而其它的更新也可望在不久后發(fā)布。

　　許多攻擊者都在與時間賽跑，想要充分利用這一強大的武器。他們已經(jīng)開發(fā)了多種可掃瞄互聯(lián)網(wǎng)和利用漏洞入侵的自動化工具。此外，黑客還為其APT工具集添加了新的能力。

　　另一方面，應用開發(fā)者正在爭分奪秒將自己的解決方案升級至最新版的Log4j。然而，對代碼施加更新和補丁而且需要一定的時間才能完成，更何況有些系統(tǒng)缺乏維護不再更新和打補丁。在這些實例中，要想預防和阻止攻擊突入自己的網(wǎng)絡，IT部門需要部署NGFW、IPS或WAF等安全控件來保護有高危漏洞的服務器。

　　為了幫助用戶應對最新的頂級漏洞，思博倫CyberFlood已經(jīng)發(fā)布CVE-2021-44228和CVE-2021-45046攻擊樣例到最新的TestCoud更新里面。用戶可以自動同步TestCloud來拿到樣本。CVE-2021-45105也將在不久后正式發(fā)布。

　　為了在這一系列前所未有的危機中幫助我們的客戶和各類機構，思博倫將提供一個為期30天的試用期，這樣我們便可對您的安全控件開展快速驗證，確保此類控件是否配置正確，以及是否能夠正常發(fā)揮作用，讓您能夠心安理得地享受自己的假期時光。

　　如圖顯示的便是Log4j攻擊CVE-2021-44228中主機間的CyberFlood網(wǎng)絡威脅評估（CTA）調(diào)用流示例

　　您的首席信息官和IT部門可以針對自己的NGFW或WAF運行這些攻擊，驗證安全基礎設施是否已經(jīng)更新至能夠防范Log4j威脅的狀態(tài)。

　　Log4j漏洞影響到了互聯(lián)網(wǎng)上三分之一的服務器。出于多種原因，并非所有的企業(yè)都能在短時間內(nèi)將自己的系統(tǒng)升級至已修復該問題的最新版本。

　　思博倫可以幫助各類機構驗證的物理設施或公有云上的虛擬安全控件/設備。所有現(xiàn)有的思博倫客戶都可以通過Test Cloud獲取這些最新的CVE。

　　今天就聯(lián)系我們吧！我們的安全專家和您探討應對這個最新頂級漏洞之道。

　　任紅波

　　思博倫業(yè)務拓展經(jīng)理

　　負責東亞地區(qū)云和安全業(yè)務拓展。他在網(wǎng)絡安全、云計算、應用程序和電信技術方面擁有超過20年的經(jīng)驗，并為網(wǎng)絡設備制造商、企業(yè)和服務提供商提供尖端的應用程序和安全測試解決方案。