距离Apache漏洞被爆出已经过去了整整一周。官方在漏洞发现之初,发布了测试版本修复该漏洞,Apache基金会紧随其后发布建议,认为企业应立即升级到Log4jv2.15.0rc2来防止漏洞可能带来的进一步损害。但由于此漏洞波及范围广且影响很远,企业仍然应当注意以下潜在威胁。
DoS威胁
Apache日志服务项目于周一(12月13日)发布了ApacheLog4j2.16.0,Apache软件基金会(ASF)称,在发现第一次更新2.15.0版“在某些非默认配置中不完整,可能允许攻击者执行拒绝服务(DoS,denial-of-service)攻击”。ASF表示,仍在使用Java7的用户应该升级到Log4j2.12.2版本。
第一个缺陷(CVE--)会影响Log4j2版本(包括2.14.1),它允许“控制日志消息或日志消息参数的攻击者可以在启用消息查找替换时执行从LDAP服务器加载的任意代码”。在Twitter和GitHub上出现概念验证(PoC)之后,项目维护人员赶忙推出了第一个修复程序,默认情况下将JNDILDAP的查找限制在本地主机。然而,这个补丁随后产生了一个新的缺陷(CVE--),该缺陷如果在某些情况下被滥用,攻击者可以通过使用JNDI查找模式恶意输入数据来发起DoS攻击。
ASF强调,之前配置的相关缓解措施并不能缓解最新的漏洞。Apache建议,虽然已知Log4j1.x系列不受任何CVE的影响,但运行第一个发行版的用户仍应更新到最新的发行版,因为第一个版本可以接收安全补丁的生命周期已经结束。
野外攻击
在一份详细的技术报告中表示,威胁行为者将Mirai变体和Kinsing挖矿程序投放到了易受攻击的服务器上。报告中还称:“虽然一些网络流量很简单,但其他威胁行为者正在使用勒索软件来隐藏他们的流量。”
据报道,勒索软件运营商也在利用Log4Shell,尤其是Khonsari系列勒索软件,并且Mirai可能会将受影响的系统用作其僵尸网络的一部分,进行DDoS攻击或发送垃圾邮件等活动。报道称:“虽然野外攻击主要通过HTTP进行,但该漏洞可以通过任何使用Log4j记录用户输入数据的协议来进行攻击。”
下游争夺
Log4j已通过镜像系统广泛分布,最近又通过内容交付网络(CDN)进行分布,而许多组织已将该库作为其项目、产品或服务的一部分进行分发。
Apache安全团队编制了一份列表,其中列出了各种Apache项目是否受到已知的影响,并附有更新链接。其他Apache日志服务的子项目,例如Log4net或Log4cxx不受影响。
风险因素与解决办法
如果企业运行基于开源软件构建的服务器,就很有可能会受到此漏洞的影响,因此企业应当及时更新漏洞补丁。此外,企业用户更需要能够全方位扫描系统的工具来对自身可能会受到影响的信息系统进行漏洞扫描与实时监测。纽盾科技开发的威胁发现与预警监测系统,基于大数据平台与人工智能技术,全天候为客户提供态势感知、威胁画像、资产漏洞管理等丰富的网络安全情报,及时发现与封堵潜在的网络安全风险漏洞,帮助客户从业务和安全层面做好信息网络的总体安全体系建设。
关于纽盾科技
纽盾科技是一家以“网络安全”为主轴,以“让网络更安全”为使命,为客户提供网络安全整体解决方案的专业公司。公司凭借自己的专业技术优势和在网络安全领域累积的丰厚服务经验,为企业提供等级保护建设、密码应用安全、数据安全评估等解决方案,帮助客户从业务和安全层面做好信息网络的总体安全体系建设,为客户的数据安全与网络安全保驾护航。