???

【51CTO.com快譯】“如果攻擊者能夠滲透到像log4j這樣的流行庫中，它們將很快在世界上大多數(shù)數(shù)據(jù)中心內(nèi)以特權(quán)運(yùn)行?！?/p>

— Jeff Williams, Contrast Security (2018)

???

為什么今天的網(wǎng)絡(luò)安全威脅更具威脅性，以及它們與我們過去遇到的障礙有何不同

在過去的兩年中，勒索軟件的興起只是冰山一角。頭版頭條新聞和有害軟件供應(yīng)鏈攻擊的揭露將網(wǎng)絡(luò)安全提升到許多政府和組織的首要議程。與此同時(shí)，即使是普通大眾也意識(shí)到了Nation-State主義者和犯罪組織帶來了一系列新的網(wǎng)絡(luò)威脅。

在我寫這篇文章的時(shí)候Log4Shell已經(jīng)發(fā)生了。所以這成為我將要分享的最好的例子--為什么現(xiàn)在的網(wǎng)絡(luò)威脅更具威脅性。

我需要告訴你的是，網(wǎng)絡(luò)安全威脅的性質(zhì)不同于我們過去所面臨的挑戰(zhàn)--從技術(shù)復(fù)雜性到日益增長(zhǎng)的相互依賴。因此，攻擊者抓住機(jī)會(huì)的速度比我們的緩解要快得多。但首先讓我們談?wù)勈裁词荓og4Shell。

Log4j 0-day 漏洞(又稱"Log4Shell")(CVE-2021–44228 & CVE-2021–45046)

世界各地的公司都在努力降低多年來發(fā)現(xiàn)的最重要的開源軟件安全漏洞造成的損害。過去二十年中，在無數(shù)Java應(yīng)用程序中使用了一個(gè)名為L(zhǎng)og4j的程序，該程序中的一個(gè)缺陷，迫使幾乎每家公司都在調(diào)查它們的軟件以確定是否容易受到攻擊。

Zero-day 漏洞 (CVE-2021–44228)于2021年12月9日公布，被稱為L(zhǎng)og4j或Log4Shell，它目前正成為攻擊目標(biāo)。因此CVE-2021-44228被指定為最高的“嚴(yán)重”性評(píng)級(jí)，風(fēng)險(xiǎn)評(píng)分為10/10。

在我撰寫本文時(shí)，出現(xiàn)了第二個(gè)漏洞，記錄為CVE-2021-45046。根據(jù)MITRE的說法，新漏洞CVE 2021-45046的描述表明，在Apache Log4j 2.15.0中解決CVE-2021-44228的修復(fù)程序“在某些非默認(rèn)配置中不完整”。

Updated Log4j CVEs Summary

• CVE-2021-44228(CVSS評(píng)分：10.0)--影響Log4j 2.0-beta9到 2.14.1版本的遠(yuǎn)程代碼執(zhí)行漏洞(2.15.0 版本中已修復(fù))
• CVE-2021-45046(CVSS評(píng)分：9.0)--影響從Log4j 2.0-beta9到2.15.0版本的信息泄漏和遠(yuǎn)程代碼執(zhí)行漏洞，不包括 2.12.2(在 2.16.0 版本中已修復(fù))
• CVE-2021-45105(CVSS評(píng)分：7.5)--影響從Log4j 2.0-beta9到2.16.0版本的拒絕服務(wù)漏洞(已在2.17.0版中修復(fù))
• CVE-2021-4104(CVSS評(píng)分：8.1)--影響Log4j 1.2版的不受信任的反序列化缺陷(無修復(fù)程序;直接升級(jí)到2.17.0版)

為什么這個(gè)漏洞如此具有破壞性?

大多數(shù)安全漏洞需要一定程度的專業(yè)知識(shí)才能被利用。但這個(gè)名為“Log4Shell”的程序所需的工作量很小。

1. 大多數(shù)軟件(實(shí)際上是所有的商業(yè)軟件)都會(huì)在軟件運(yùn)行時(shí)保存所有的活動(dòng)日志，允許開發(fā)人員和操作員在用戶遇到問題時(shí)查看并找出問題的所在。

2. 該活動(dòng)包括用戶輸入到網(wǎng)站表單中的按鍵內(nèi)容。

3. Log4Shell漏洞允許攻擊者在Web表單中輸入精心制作的字符串，一旦被記錄下來，就會(huì)控制運(yùn)行它的計(jì)算機(jī)下載惡意代碼。

4. 根據(jù)應(yīng)用程序決定記錄哪些數(shù)據(jù)，可以在各個(gè)領(lǐng)域找到該惡意字符串，從針對(duì)Web服務(wù)器的HTTP用戶代理到Minecraft中的聊天室消息。

5. 在當(dāng)時(shí)，那臺(tái)電腦被“劫持”。

6. 旨在利用該漏洞的惡意軟件周日晚上開始蔓延。

7. 然后攻擊者進(jìn)一步利用受影響的系統(tǒng)，例如安裝加密挖礦軟件，勒索軟件等等。

利用此漏洞的結(jié)果是可以完全控制受感染的系統(tǒng)。此外無論是否經(jīng)過身份驗(yàn)證，此漏洞都可以利用，從而增加了總體的嚴(yán)重性、規(guī)模和潛在影響，因此CVSS分?jǐn)?shù)異常的高。

據(jù)MITRE和ZDNet稱，到目前為止，攻擊者已利用該漏洞：

• 在易受攻擊的系統(tǒng)上安裝加密礦工;
• 竊取系統(tǒng)憑據(jù)(憑據(jù)被盜);
• 部署勒索軟件;
• 更深地隱藏在受損網(wǎng)絡(luò)中(持久性);
• 竊取數(shù)據(jù)。

建議

目前，Log4j易受攻擊版本范圍從2.0版本到2.14.1。此外，已棄用的1.X中仍然有潛在的漏洞。合理的解決方案是安裝當(dāng)前可用的Log4j修補(bǔ)版本來解決此漏洞，即Log4j版本2.16.0。

此外，端點(diǎn)檢測(cè)和響應(yīng)(EDR)、Web應(yīng)用程序防火墻(WAF)和入侵檢測(cè)系統(tǒng)(IPS)等網(wǎng)絡(luò)安全解決方案正試圖通過提供“虛擬補(bǔ)丁”來緩解這個(gè)問題。

更新?--2021年12月20日(CVE-2021–45105)

Apache Log4j2版本2.0-alpha1到2.16.0(不包括2.12.3)不能防止自引用查找不受控制的遞歸。這允許控制線程上下文映射數(shù)據(jù)的攻擊者在解釋精心設(shè)計(jì)的字符串時(shí)導(dǎo)致拒絕服務(wù)。此問題已在Log4j 2.17.0和2.12.3中修復(fù)。

網(wǎng)絡(luò)犯罪的性質(zhì)

當(dāng)我們觀察 20 年前的網(wǎng)絡(luò)犯罪分子時(shí)，他們必須非常技術(shù)化--我們?cè)陔娪爸锌吹降摹罢嬲暮诳汀贝髦得?，在鍵盤上快速著打字?，F(xiàn)在網(wǎng)絡(luò)犯罪的入門門檻低，并且網(wǎng)絡(luò)犯罪正在成為一種服務(wù)。

當(dāng)今最有利可圖的網(wǎng)絡(luò)犯罪活動(dòng)是勒索軟件，它會(huì)滋生更危險(xiǎn)的威脅并需要更具創(chuàng)新性的網(wǎng)絡(luò)防御。例如，勒索軟件即服務(wù) (RaaS) 為非技術(shù)犯罪分子提供了利用網(wǎng)絡(luò)勒索的機(jī)會(huì)。然而，鑒于威脅格局的快速變化，真正的挑戰(zhàn)是了解風(fēng)險(xiǎn)。

黑客可以從更復(fù)雜的網(wǎng)絡(luò)犯罪中獲利的另一種方式是為網(wǎng)絡(luò)犯罪提供“基礎(chǔ)設(shè)施即服務(wù)”。該領(lǐng)域的那些人提供服務(wù)和基礎(chǔ)設(shè)施--包括防彈托管和僵尸網(wǎng)絡(luò)租賃--其他不法分子利用這些服務(wù)和基礎(chǔ)設(shè)施來完成他們骯臟的工作。

防彈托管可幫助網(wǎng)絡(luò)犯罪分子將網(wǎng)頁和服務(wù)器放在Internet上，而不必?fù)?dān)心被執(zhí)法部門刪除。網(wǎng)絡(luò)犯罪分子可以支付僵尸網(wǎng)絡(luò)租用費(fèi)用，讓他們可以臨時(shí)訪問受感染計(jì)算機(jī)網(wǎng)絡(luò)，用于分發(fā)垃圾郵件或DDoS攻擊等等。

復(fù)雜性與相互依賴性

要明確的是，這不是我們第一次遇到這樣的假期破壞者。上一次遇到這樣的危機(jī)是2014年在OpenSSL中發(fā)現(xiàn)Heartbleed漏洞的時(shí)候。難道我們不應(yīng)該從錯(cuò)誤中吸取教訓(xùn)嗎?

幾乎所有主要科技企業(yè)公司都同意向一個(gè)基金捐款，以維護(hù)OpenSSL和其他關(guān)鍵開源項(xiàng)目的安全。然而，還有兩個(gè)更復(fù)雜的問題：

1. 規(guī)模：Java長(zhǎng)期以來一直是最著名的企業(yè)軟件編程語言之一，Log4j是Java應(yīng)用中最流行的日志工具之一。

2. 如何構(gòu)建軟件：Log4j也被用于各種開源軟件程序中，這些程序通常作為其他軟件的基礎(chǔ)。

在過去的二十年中，開源軟件導(dǎo)致了企業(yè)軟件創(chuàng)新的爆炸式增長(zhǎng)。盡管如此，這個(gè)世界上還有一個(gè)公開的秘密：許多著名和突出的開源項(xiàng)目都是由少數(shù)人維護(hù)的，他們不一定有償去做這項(xiàng)工作。

然而，問題不在于缺少資金：有太多的開源項(xiàng)目被用來構(gòu)建世界上一些最關(guān)鍵的軟件，而僅僅確定需要支持的軟件就是一個(gè)巨大的挑戰(zhàn)。

更多方面的攻擊 — IoT(示例)

即使像微軟這樣的主要技術(shù)公司已經(jīng)改善了他們的安全態(tài)勢(shì)，但今天的攻擊面也比以前更廣泛。造成這一原因的一個(gè)特殊貢獻(xiàn)者是物聯(lián)網(wǎng)(IoT)設(shè)備。

黑客可以使設(shè)備脫機(jī)的方法之一就是發(fā)送使機(jī)器崩潰的惡意數(shù)據(jù)包。 另一件事是當(dāng)他們可以在設(shè)備上執(zhí)行代碼時(shí)，這就打開了在網(wǎng)絡(luò)上持久化或橫向移動(dòng)到其他類型目標(biāo)的可能性。

與大型機(jī)服務(wù)器、臺(tái)式計(jì)算機(jī)、筆記本電腦和移動(dòng)設(shè)備不同，從安全角度來看，物聯(lián)網(wǎng)很難更新。這不是簡(jiǎn)單的“做或不做”的意識(shí)形態(tài)，而是局限性導(dǎo)致物聯(lián)網(wǎng)安全面臨挑戰(zhàn)。

許多物聯(lián)網(wǎng)設(shè)備都設(shè)計(jì)得非常小，并且功率剛好滿足特定的功能需求。因此，沒有足夠的內(nèi)存、存儲(chǔ)或 CPU 功能來容納安全更新。 所以對(duì)于大多數(shù)在野外運(yùn)行的物聯(lián)網(wǎng)來說修補(bǔ)是不可能的。

今年8月，Realtek警告稱其WiFi模塊中的三個(gè)SDK存在四個(gè)漏洞。根據(jù)該公告，可能有近一百萬臺(tái)易受攻擊的設(shè)備處于使用中，這包括VoIP設(shè)備、無線路由器、中繼器、IP攝像機(jī)、智能照明控制，可能還包括任何采用該芯片設(shè)計(jì)的WiFi連接設(shè)備。

以Realtek為例，修復(fù)涉及更新相關(guān)產(chǎn)品的固件，這會(huì)引入多種困難：

• 查找正在使用的物聯(lián)網(wǎng)設(shè)備是否包含該芯片組;
• 查看設(shè)備是否處于易受攻擊的版本下;
• 更新固件。

更新固件通常涉及到直接訪問設(shè)備。在大多數(shù)情況下這是另一個(gè)挑戰(zhàn)，這些物聯(lián)網(wǎng)設(shè)備可能位于難以到達(dá)的位置(天花板、油箱內(nèi)、另一臺(tái)機(jī)器內(nèi)…)。

也許值得補(bǔ)充的是，每個(gè)人都可以使用Shodan漏洞搜索引擎找到受影響的硬件，這意味著黑客也可以這樣做。

回到BlackHat 2016，Log4Shell被發(fā)現(xiàn)。

最后，還有一個(gè)提醒，我們應(yīng)該更加關(guān)注安全研究。例如，在 Black Hat USA 2016中，Alvaro Mu?oz 和 Oleksandr Mirosh 研究了JNDI問題。

雖然沒有具體命名Log4j，但它是Log4j使用底層接口中的缺陷。當(dāng)然，知道Log4Shell是一個(gè)“我早就告訴過你了”對(duì)所有安全專業(yè)人員來說都沒有什么好處，他們正以110%的速度努力解決這個(gè)問題。

然而，知道它是在2016年發(fā)現(xiàn)的，這凸顯了讓安全團(tuán)隊(duì)能夠從研究中獲取相關(guān)信息的重要性，以及將這些經(jīng)驗(yàn)教訓(xùn)應(yīng)用于組織自己的基礎(chǔ)架構(gòu)和實(shí)踐所需的資源(時(shí)間，金錢等)。

建議?--再次強(qiáng)調(diào)，零信任和縱深防御

經(jīng)驗(yàn)證的安全原則，如縱深防御和零信任框架，也可以發(fā)揮重要作用。許多安全團(tuán)隊(duì)非常了解這些概念，并希望將其應(yīng)用于組織的軟件和解決方案部署。

然而，它們經(jīng)常遇到其他利益相關(guān)者的抵制，或者缺乏部署它們的資源。正如我之前提到的，我們?nèi)栽趯?shí)現(xiàn)這一目標(biāo)的旅程中。

希望隨著自動(dòng)化(例如基礎(chǔ)架構(gòu)即代碼，主要用于圍繞 CI/CD 構(gòu)建的現(xiàn)代管道)的日益普及，使安全團(tuán)隊(duì)能夠與開發(fā)人員合作，從一開始就跨多個(gè)系統(tǒng)構(gòu)建起更安全的解決方案。

零信任原則在主機(jī)、應(yīng)用程序和網(wǎng)絡(luò)級(jí)別也起著至關(guān)重要的作用。 例如在主機(jī)級(jí)別利用Log4j的進(jìn)程需要哪些實(shí)際權(quán)限和功能。越來越多的行為監(jiān)控(EDR、NDR 和 XDR)與運(yùn)行時(shí)保護(hù)可以作為一種強(qiáng)大的組合來減輕被利用系統(tǒng)的影響。

值得注意的是，零信任訪問通過網(wǎng)絡(luò)級(jí)別的微分段來體現(xiàn)自己。由于Log4Shell是一個(gè)兩階段攻擊--其中有效負(fù)載必須從攻擊者控制的系統(tǒng)中下載 --隔離受感染系統(tǒng)的能力是有利的。

最后的話--軟件內(nèi)部的定時(shí)炸彈

無論是Log4j還是Realtek漏洞--都是冰山一角。 在蠕蟲和病毒準(zhǔn)備削弱網(wǎng)絡(luò)的重要部分的早期，我們作為一個(gè)行業(yè)沒有做任何事情：我們沒有實(shí)施更好的技術(shù)，減少我們的攻擊面，或解決代碼庫中的內(nèi)存損壞問題。

要了解IT/OT/IoT連接基礎(chǔ)背后真正的危險(xiǎn)，還有很多的工作要做。但是我們可以參與查找漏洞，修復(fù)它們，并且提供更高級(jí)別的解決方案的各方力量越多，我們就能越快地過渡到更安全的世界。

譯者介紹

朱鋼，51CTO社區(qū)編輯，2019年CSDN博客專家20強(qiáng)，2020年騰訊云+社區(qū)優(yōu)秀作者，10年一線開發(fā)經(jīng)驗(yàn)，曾參與獵頭服務(wù)網(wǎng)站架構(gòu)設(shè)計(jì)，企業(yè)智能客服以及大型電子政務(wù)系統(tǒng)開發(fā)，主導(dǎo)某大型央企內(nèi)部防泄密和電子文檔安全監(jiān)控系統(tǒng)的建設(shè)，目前在BIM頭部企業(yè)從事招投標(biāo)軟件開發(fā)。

原文標(biāo)題：Time Bombs Inside Software: 0-Day Log4Shell is Just the Tip of The Iceberg，作者：Zen Chan

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】