自2021年12月7日公開,Apache Log4j 漏洞被認為是“2021年最重要的安全威脅之一”,稱它為“核彈級”漏洞真的不是夸張。該漏洞被披露已有1個多月時間,我們一起來回顧下,這場“核爆炸”究竟帶來了哪些連鎖反應?
被披露僅1個多月時間,以CVE-2021-44228漏洞為起始點,Apache Log4j 總計爆發(fā)8個漏洞,其中包括5個遠程代碼執(zhí)行漏洞、1個SQL注入漏洞、2個拒絕服務漏洞,高危以上漏洞占據(jù)了7個。
Apache Log4j 漏洞信息表
該漏洞還被廣泛應用于勒索、挖礦、僵尸網(wǎng)絡上,黑產(chǎn)組織利用漏洞發(fā)起多個攻擊事件。深信服對此梳理了完整的事件演進時間線:
12月13日,深信服捕獲到勒索病毒Tellyouthepass最新變種使用CVE-2021-44228漏洞專門針對某OA系統(tǒng)對Windows和Linux雙平臺進行攻擊,點擊了解:《深信服EDR成功攔截利用Apache Log4j2漏洞Tellyouthepass 勒索,警惕攻擊OA系統(tǒng)》
12月15日,深信服捕獲到專門針對某OA系統(tǒng)的利用CVE-2021-44228漏洞進行傳播的挖礦病毒,并進行了深入分析,點擊了解:《發(fā)現(xiàn)針對某OA的Log4shell漏洞利用的新型挖礦病毒W(wǎng)hiteLotusMiner》
重點關注:關鍵信息基礎設施安全防護
值得關注的是,在Apache Log4j2遠程執(zhí)行代碼漏洞被披露僅11天后,已有攻擊者利用此漏洞成功攻擊比利時國防部計算機網(wǎng)絡。發(fā)言人證實其部分計算機網(wǎng)絡處于癱瘓狀態(tài),如郵件系統(tǒng)已經(jīng)停機數(shù)日。
據(jù)媒體報道稱,比利時國防部是第一個報告該漏洞的政府受害者,但鑒于Apache Log4j 漏洞在公共和私營部門流行的軟件中無處不在,它不可能是最后一個。
與此同時,已有勒索團伙將Log4j2漏洞武器化,并擁有完整的攻擊鏈,嚴重威脅各國關基單位的安全與利益。保障關鍵信息基礎設施安全,強化應急響應能力,這是Apache Log4j 漏洞攻擊事件給我們帶來的啟示。
為什么關鍵信息基礎設施極易成為攻擊者利用Log4j 漏洞進行攻擊的目標?
我們知道,Log4j 漏洞不僅存在于組織面向Internet的資產(chǎn)中,還存在于內(nèi)部系統(tǒng)、第三方應用程序、SaaS和云服務等環(huán)境中。對于關鍵信息基礎設施運營單位來說,面對龐雜的資產(chǎn)情況,難以厘清哪些資產(chǎn)完全暴露在威脅之下。
其次,關鍵信息基礎設施所使用軟件可能包含Log4j 漏洞的受信任的第三方 API,或可能包含特定組件的所有依賴項(包括 Log4j 庫)中。由于組織缺乏API行為的可見性及漏洞埋藏較深,識別受影響的應用程序變得異常困難。
關鍵信息基礎設施所使用的軟件可能由第三方供應商提供,但針對Log4j 漏洞,未必所有的供應商都有可用的補丁,因此當前看似“風平浪靜”,實則暗藏安全風險。
解決方案:長效治理防護,筑就安全防線
當前,Log4j1.x已經(jīng)停止維護,解決1.x版本漏洞,需要升級到Log4j2的新版本。未來,攻擊者還會如何利用Apache Log4j2 組件漏洞對關鍵信息基礎設施進行攻擊不得而知。但可以確信的是,該漏洞在短時間難以全面排查,且一旦威脅快速升級,難以及時規(guī)避。
如果只是采用單次的風險排查和應急處置,將無法持續(xù)有效控制,風險治理異常困難。組織應基于威脅情報持續(xù)監(jiān)測、快速響應,建立長效治理機制,及時規(guī)避風險。
針對該漏洞及后續(xù)進化版本,深信服基于深度研究、持續(xù)跟進,不斷更新產(chǎn)品內(nèi)置規(guī)則、云端威脅情報,并根據(jù)用戶實際情況提供Apache Log4j2組件漏洞長效治理解決方案,從風險排查、安全加固、長效治理三個階段,形成整體全面的建設思路,幫助用戶徹底解決該漏洞帶來的安全隱患。
深信服Apache Log4j2 組件漏洞長效治理解決方案建設思路
1. 專業(yè)檢測工具匹配不同需求,快速排查安全隱患
是否存在漏洞相關組件:通過深信服云鏡配合0Day插件包,快速發(fā)現(xiàn)安全風險;
是否存在利用漏洞的攻擊行為:通過深信服終端檢測響應平臺 EDR 的威脅狩獵模塊,對漏洞利用、惡意軟件執(zhí)行繞過、持久化等操作進行檢測。
2. 專項檢測防護,見招拆招,針對性有效加固
發(fā)現(xiàn)內(nèi)部存在 Apache Log4j2 組件:深信服安全服務人員可協(xié)助用戶更新升級相關組件到最新版本;
發(fā)現(xiàn)繞過官方補丁的攻擊行為:通過深信服下一代防火墻 AF最新的漏洞攻擊特征識別庫,有效識別漏洞并實時更新。
3. 7*24小時持續(xù)監(jiān)測,全球威脅5分鐘同步,建立長效防護機制
從事件演變過程來看,攻擊者不斷升級其攻擊技術,修復補丁、安全策略等相關措施都存在被繞過的可能:通過深信服安全運營團隊 7*24 小時持續(xù)監(jiān)測漏洞攻擊行為,配合云端威脅情報,全球威脅5分鐘同步,通過“本地 + 云端”的方式第一時間規(guī)避該漏洞帶來的安全隱患。
針對Apache Log4j 漏洞,深信服全面梳理事件發(fā)展過程,幫助用戶更深入了解其影響面,以及如何針對Apache Log4j2 組件漏洞進行長效治理。