2021年12月，Log4j驚爆“核彈級”漏洞（Log4Shell），之后很快像癌癥一樣在互聯(lián)網(wǎng)上迅猛擴(kuò)散，短時間內(nèi)就讓全球超過40%的企業(yè)網(wǎng)絡(luò)遭遇襲擊，于是全世界的企業(yè)安全人員瞬間沒了周末。該漏洞利用成本極低，可以直接任意代碼執(zhí)行，并接管目標(biāo)服務(wù)器，其潛在危害嚴(yán)重性、影響面堪稱2021年之最。

Log4Shell攻擊面巨大，一些專家認(rèn)為，此次漏洞與2014年Shellshock系列安全漏洞不相上下，后者在最初披露的數(shù)小時內(nèi)就被受損計算機(jī)的僵尸網(wǎng)絡(luò)利用，發(fā)動了分布式拒絕服務(wù)(DDoS)攻擊和漏洞掃描。

Log4j漏洞并不罕見，因而應(yīng)當(dāng)予以持續(xù)關(guān)注，以充分識別和修復(fù)問題。以下為大家分享一些基本方法。

對Log4j 的擔(dān)憂主要由于 Java 日志庫的使用頗具普遍性，以及未經(jīng)身份驗證的攻擊者能如此輕松就利用該漏洞實現(xiàn)遠(yuǎn)程代碼執(zhí)行 (RCE)。我們對配置更新，好像做好了Log4j攻擊套件的應(yīng)對準(zhǔn)備，但這一切只是臨時抱佛腳。與此同時，此種漏洞已出現(xiàn)變種 ，但在組織內(nèi)部，涵蓋核心基礎(chǔ)設(shè)施全面升級的長期解決方案還遙遙無期。

由于隨后出現(xiàn)的通用漏洞披露 (CVE) ，加之許多團(tuán)隊在更改配置、掃描資產(chǎn)排查易受攻擊軟件時過于草率，Log4j要被完全控制還需數(shù)月時間。許多組織要么長期停留在排查階段，試圖完全找出系統(tǒng)使用 Java 或 Log4j的地方，要么就一直在修復(fù)當(dāng)中，因為運營或系統(tǒng)限制束縛了他們推出完整補(bǔ)丁的能力。

因為初始配置更改不夠充分，漏洞不斷變化，或需做好執(zhí)行全面修復(fù)的準(zhǔn)備。以下提到的最佳實踐及重要論點將幫助安全團(tuán)隊在這方面做好籌謀。

大規(guī)模使用資產(chǎn)管理

在Log4j漏洞出現(xiàn)后，安全團(tuán)隊抓緊尋找并優(yōu)先考慮擁有大量資產(chǎn)的群體。人們共同企盼能有快速、可擴(kuò)展的方法來查找 Java 和 Log4j 實例。可用檢測工具很多，但許多安全組織卻忘了一項基本內(nèi)容：最新的軟件資產(chǎn)清單。

資產(chǎn)采集和處理非常關(guān)鍵，安全團(tuán)隊需要如下問題的及時回答：哪些 Linux 服務(wù)器正在運行Log4j？哪些虛擬機(jī)使用Java？ 

強(qiáng)大的資產(chǎn)管理可加快修補(bǔ)周期，每當(dāng)出現(xiàn)新的 Log4j 時，便立即需要新的補(bǔ)丁。資產(chǎn)管理能力更強(qiáng)的團(tuán)隊對 Log4j 的響應(yīng)更高效，他們能夠更快識別出易受攻擊的 Java 實例，同時監(jiān)控修復(fù)對運營的影響。

最佳防御：加快修復(fù)周期 

安裝補(bǔ)丁是應(yīng)對新興威脅的最佳方式，但攻擊者亦會迅速把新的 CVE 納入攻擊套件。要緩解攻擊和保護(hù)系統(tǒng)，升級到最新版本是最為可靠的辦法。隨著時間推移，依靠手動配置更改會導(dǎo)致系統(tǒng)出現(xiàn)漏洞，因為Log4j 等漏洞也在不斷演化，僅僅改變一個真/假旗標(biāo)是不夠的。

檢查配置

加強(qiáng)資產(chǎn)管理實踐，要實施配置檢查。當(dāng)新的 CVE 出現(xiàn)時，資產(chǎn)需要進(jìn)一步更新和配置更改，確保可以從Log4j追蹤到它。在該漏洞管理計劃中，首要一點是安全團(tuán)隊發(fā)現(xiàn)未知威脅的監(jiān)控渠道。尋找高優(yōu)先級威脅需要有穩(wěn)妥的流程安排，不要靠聽小道消息或偏信推特內(nèi)容，而要建立一個積極主動的流程。

解決遺留系統(tǒng)問題

如果組織還在使用與 Java 更新版本不兼容的遺留軟件，那么是時候采取行動，促使領(lǐng)導(dǎo)層（和供應(yīng)商）建立強(qiáng)大的軟件資產(chǎn)清單和循環(huán)修復(fù)周期。處理技術(shù)負(fù)債(包括未修復(fù)的遺留軟件)會消耗過多的資源和帶寬，同時需要增加監(jiān)控和補(bǔ)償性控制。當(dāng)Log4j出現(xiàn)，安全團(tuán)隊也就更有話語權(quán)，而這也是計劃升級遺留系統(tǒng)的好時機(jī)。

內(nèi)網(wǎng)和氣隙（Air-Gapped）系統(tǒng)不容忽視

人們通常認(rèn)為氣隙系統(tǒng)和內(nèi)部設(shè)備是安全的，因為如果攻擊者接觸不到，自然也就無法利用。但這種假設(shè)對Log4j來說極為危險，因為未經(jīng)身份驗證的請求，即使通過其他應(yīng)用程序仍然可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行(RCE)漏洞。對待氣隙系統(tǒng)和內(nèi)網(wǎng)資產(chǎn)應(yīng)如面向互聯(lián)網(wǎng)的資產(chǎn)一樣，隨時準(zhǔn)備全面升級并展開配置跟蹤。

安全的自動擴(kuò)展和部署

識別云環(huán)境中可能使用自動部署或自動擴(kuò)展方案運行的資產(chǎn)。要確保這些配置是安全的，并且任何未來部署都不會使用過時的Java版本或Log4j庫。這需要與開發(fā)團(tuán)隊合作，確保這些安全配置納入未來的構(gòu)建當(dāng)中。

參考鏈接：https://www.darkreading.com/attacks-breaches/log4j-getting-from-stopgap-remedies-to-long-term-solutions