Log4j漏洞所藏身的組件并不總是易于檢測，且該組件的使用范圍遠(yuǎn)不止企業(yè)自己的網(wǎng)絡(luò)和系統(tǒng)。

如果想要緩解公司的Log4j漏洞暴露問題，安全團(tuán)隊(duì)需要克服很多難題，比如確定暴露的全部范圍，找出變通方法堵上無補(bǔ)丁系統(tǒng)的漏洞，以及確保第三方產(chǎn)品和服務(wù)有所防護(hù)。

安全專家本周表示，對于許多人來說，由于需要持續(xù)監(jiān)測攻擊者試圖利用漏洞的跡象，或者監(jiān)測自身可能已經(jīng)遭到入侵的指標(biāo)，這項(xiàng)任務(wù)會(huì)變得更加復(fù)雜。

Log4j是一種日志工具，幾乎存在于所有Java應(yīng)用中。從2.0-beta9到2.14.1的多個(gè)Log4j版本中存在關(guān)鍵遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-44228)，攻擊者可利用該漏洞完全控制易受攻擊的系統(tǒng)。上周，Apache基金會(huì)發(fā)布了該工具的更新版本 (Apache Log4j 2.15.0)，但由于原始補(bǔ)丁未能完全防止拒絕服務(wù)(DoS)攻擊和數(shù)據(jù)盜竊，本周二又發(fā)布了第二次更新。

很多人都覺得這個(gè)漏洞是近期最危險(xiǎn)的漏洞之一，因?yàn)閷?shí)在是太容易被利用了，而且普遍存在于每個(gè)IT環(huán)境中。舉個(gè)例子，Veracode就發(fā)現(xiàn)其客戶中88%都在使用某個(gè)版本的Log4j，而58%的客戶環(huán)境中存在帶漏洞的版本。

自上周該漏洞首次披露以來，世界各地的攻擊者一直在嘗試?yán)眠@個(gè)漏洞。多家安全供應(yīng)商觀測到攻擊者試圖利用該漏洞投放加密貨幣挖礦機(jī)、勒索軟件、遠(yuǎn)程訪問木馬、Web shell和僵尸網(wǎng)絡(luò)惡意軟件。12月15日，Armis報(bào)告稱，其客戶中大約35%正遭受經(jīng)由該漏洞發(fā)起的主動(dòng)攻擊，31%則面臨托管設(shè)備上的Log4j漏洞相關(guān)威脅。這家安全供應(yīng)商表示，針對其客戶的漏洞利用攻擊嘗試次數(shù)高達(dá)3萬次之多。其他幾家供應(yīng)商也報(bào)告了類似的活動(dòng)。

Armis發(fā)現(xiàn)，迄今為止，IT環(huán)境中最容易被攻擊者盯上的資產(chǎn)是服務(wù)器、虛擬機(jī)和移動(dòng)設(shè)備。而在OT網(wǎng)絡(luò)中，49%的被黑設(shè)備都是虛擬機(jī)，43%是服務(wù)器。OT網(wǎng)絡(luò)中的其他目標(biāo)設(shè)備還有聯(lián)網(wǎng)攝像頭、人機(jī)界面(HMI)和數(shù)據(jù)采集與監(jiān)視控制(SCADA)系統(tǒng)。

界定問題范圍

安全專家表示，在防御針對Log4j漏洞的攻擊時(shí)，企業(yè)面臨的一項(xiàng)主要挑戰(zhàn)是摸清自身的整個(gè)暴露面。該漏洞不僅存在于企業(yè)面向互聯(lián)網(wǎng)的資產(chǎn)中，還廣泛存在于內(nèi)部與后端系統(tǒng)、網(wǎng)絡(luò)交換機(jī)、安全信息與事件管理(SIEM)及其他日志記錄系統(tǒng)、內(nèi)部開發(fā)應(yīng)用與第三方應(yīng)用、軟件即服務(wù)(SaaS)和云服務(wù)，以及自身甚至可能毫無所覺的環(huán)境中。而且，不同應(yīng)用和組件之間存在相互依賴，這意味著即使組件不直接存在漏洞，也仍然可能受到漏洞影響。

Noname Security表示，Java程序包打包機(jī)制通常會(huì)增加受影響應(yīng)用的識(shí)別難度。例如，Java存檔(JAR)文件可能包含特定組件的所有依賴項(xiàng)，包括Log4j庫。但JAR文件還可能包含其他JAR文件(該JAR文件可能又包含另一個(gè)JAR文件)?；旧?，這個(gè)漏洞可能嵌套了很多層。

Netskope威脅研究工程師Gustavo Palazolo表示：“企業(yè)在緩解Log4j漏洞時(shí)面臨的主要挑戰(zhàn)之一，是識(shí)別所有受損資產(chǎn)。”他補(bǔ)充道，基Log4j Apache Java的日志庫非常流行，許多應(yīng)用，還有物聯(lián)網(wǎng)設(shè)備和為了向后兼容而維護(hù)的老舊系統(tǒng)，都在使用此類日志庫。

即使發(fā)現(xiàn)應(yīng)用存在漏洞，更新應(yīng)用也可能很困難，因?yàn)槠髽I(yè)可能無法承受宕機(jī)的代價(jià)，或者缺乏合適的補(bǔ)丁管理控制措施。

Palazolo稱：“因此，在某些情況下，識(shí)別所有受損系統(tǒng)和修復(fù)問題之間的耗時(shí)可能會(huì)很長。”

API和第三方風(fēng)險(xiǎn)

應(yīng)用還不是唯一的問題。Log4j漏洞也會(huì)影響應(yīng)用編程接口(API)環(huán)境。Noname Security表示，包含該漏洞的API服務(wù)器提供了誘人的攻擊渠道，因?yàn)樵S多企業(yè)其實(shí)對其API清單和API行為的可見性有限。沒使用Log4j日志框架的公司可能在用含有Log4j漏洞的受信第三方API，同樣面臨Log4j漏洞利用風(fēng)險(xiǎn)。

Noname Security技術(shù)副總裁 Aner Morag表示：“對于企業(yè)而言，想要最大限度地降低遭遇API型[Log4j漏洞]利用的風(fēng)險(xiǎn)，需要采取幾個(gè)步驟。”這些步驟包括：映射使用任何Java服務(wù)提供API的所有服務(wù)器，不允許任何用戶輸入接觸到API服務(wù)器上的日志消息，使用代理或其他機(jī)制來控制后端服務(wù)可以連接到哪些服務(wù)器，并將API置于API網(wǎng)關(guān)或負(fù)載均衡器之后。

企業(yè)面臨的另一個(gè)Log4j漏洞緩解挑戰(zhàn)是，要確保他們使用的所有第三方產(chǎn)品和服務(wù)都打上了合適的補(bǔ)丁，或者設(shè)置了針對該漏洞的緩解措施。

Alert Logic安全運(yùn)營副總裁Tom Gorup稱：“許多供應(yīng)商產(chǎn)品受到影響，[并且]受影響供應(yīng)商的數(shù)量每天都在增加。不是所有供應(yīng)商都有補(bǔ)丁可用。”

Gorup建議安全團(tuán)隊(duì)檢查其供應(yīng)商的網(wǎng)站，或者直接與供應(yīng)商聯(lián)系，好了解他們的產(chǎn)品是否受到影響。供應(yīng)商可能易受此漏洞影響，但已發(fā)布緩解措施來保護(hù)其客戶。

Gorup指出：“至少，你得清楚怎么驗(yàn)證自己的資產(chǎn)已經(jīng)接收到更新了。”他還建議安全團(tuán)隊(duì)檢查過去幾天公布出來的易受攻擊產(chǎn)品列表，比如GitHub上發(fā)布的那個(gè)(URL：https://github.com/NCSC-NL/log4shell/tree/main/software)。

Gorup表示：“對此漏洞的回應(yīng)可能是，‘我們不使用Java’。盡管情況可能真是這樣，但你的第三方軟件或許早已嵌入了Java，導(dǎo)致你的漏洞掃描壓根兒沒顯示出這一[威脅]。”