您所在的位置: 首頁 >
安全研究 >
安全通告 >
關于Log4j漏洞:持續(xù)后果影響的警告...
關于Log4j漏洞:持續(xù)后果影響的警告和防御措施有效性的警告
Logo4j漏洞目前看怎么形容其嚴重性都不為過,預計其影響的嚴重性、長期性與當年的wannacry不相上下。當?shù)貢r間13日,美國網(wǎng)絡安全與基礎設施安全局(Cybersecurity and Infrastructure Security Agency)局長珍·伊斯特利(Jen Easterly)在當天的電話簡報中告訴行業(yè)領袖,log4j(或稱為log4shell)漏洞將成為她職業(yè)生涯中遇到的最嚴重的漏洞,至少是之一。與此同時,在眾多安全廠商給出的防范措施中,也出現(xiàn)了不同的反應。在國外首報該漏洞分析的安全廠商Lunasec在其最新的博文中指出了關于有些防御措施有效性的質疑,甚至是批評。
伊斯特利在談到Apache Log4j漏洞時說:“我們預計這個漏洞會被經(jīng)驗豐富的威脅行為者廣泛利用,我們只有有限的時間來采取必要的措施,以減少破壞的可能性?!标P鍵問題,這是一個未經(jīng)身份驗證的遠程執(zhí)行漏洞,它可能允許入侵者接管受影響的設備。
CISA漏洞管理辦公室的Jay Gazlay在與關鍵基礎設施所有者和運營商的通話中表示,數(shù)億臺設備可能會受到影響。
CISA負責網(wǎng)絡安全的執(zhí)行助理主任埃里克·戈爾茨坦(Eric Goldstein)說,該機構最快將于當?shù)貢r間14日建立一個專門的網(wǎng)站,提供信息并打擊“活躍的虛假信息”。他說,該漏洞“允許遠程攻擊者輕松控制并利用存在該漏洞的系統(tǒng)”。
此次行業(yè)簡報是世界各地政府官員發(fā)出的最新警告。剛剛這個周末,CISA與奧地利、加拿大、新西蘭和英國等國網(wǎng)絡安全機構一道發(fā)出了警告
Goldstein說,CISA預計各種攻擊者都將利用這個漏洞,從加密者到勒索軟件組織等等。他說,“目前”沒有證據(jù)表明供應鏈受到了積極的攻擊。
在談到此次漏洞應用的艱巨性時,Gazlay說,組織需要“持續(xù)的努力”才能變得安全,即使在應用了Apache的補丁后,也需要勤奮。Gazlay說:“沒有一個單一的行動可以解決這個問題?!闭J為任何人“將在一兩個星期內完成”是錯誤的。
伊斯特利局長的建議是,確保各機構在假期期間都有自己的安全團隊,采取“所有必要措施消除容易被利用的弱點”,并與CISA分享比平時更多的信息。
而在網(wǎng)絡安全從業(yè)者中,相關防御措施的有效性討論不斷深入,Lunasec的最新博文中列出幾點,稱為”已知的壞建議”。
文章中稱,“以下是我們在網(wǎng)上看到的所有被誤導和危險的建議。如果您在網(wǎng)上看到包含以下任何內容的建議,我們請您與作者分享這篇文章,以幫助限制Log4Shell的影響?!?/span>
1、WAF不會將您從Log4Shell中拯救出來
Log4Shell漏洞無法通過使用 WAF(Web 應用程序防火墻)來緩解,因為它不要求您可以公開訪問它。內部數(shù)據(jù)管道(如 Hadoop和Spark)以及桌面應用程序(如NSA的 Ghidra)都受此影響。
此外,沒有簡單的方法可以通過簡單的WAF規(guī)則“過濾”惡意請求,因為 Log4Shell負載可能是嵌套的。
如果您使用的是易受攻擊的log4j版本,則緩解Log4Shell的唯一安全方法是通過本文下面詳述的策略之一。
2、僅僅更新Java并不足以(可能)長期有效
網(wǎng)上有很多報告說只有某些Java版本會受到影響,并且如果您使用較新的Java版本,則您是安全的。
我們認為,在運行易受攻擊的log4j版本時,所有Java 版本(甚至當前的Java 11版本)都會受到影響,這只是時間問題。僅僅升級你的Java 版本是不夠的,你不應該依賴它來長期防御漏洞利用。
(技術解釋:我們收到的報告指出,仍然可以在服務器上實例化本地類,而不是當前漏洞利用的遠程類。請參閱我們關于此的最后一篇文章。)
3、簡單地更新您的日志語句是危險的
一些在線人建議將您的日志記錄語句從%m更新為%m{nolookupzz} 以緩解這種情況**。
這是一個糟糕的建議,我們不建議您遵循它。即使您今天設法100%修補您的應用程序,您將來仍有可能不小心再次添加%m,然后您將再次受到攻擊。
此外,可能會在您的日志記錄語句中遺漏一行,或者如果有一個依賴項使用帶有%m的log4j而您沒有重新確認。如果發(fā)生任何一種情況,您仍然會很脆弱。
我們強烈支持軟件的“默認安全”心態(tài),我們建議您改用其他緩解措施之一。
注:**:這里的 zz 是故意錯誤的,以防止盲目復制粘貼。原文作者的標注。
另外,還有安全研究者指出了NVD和MITRE在描述該漏洞時的錯誤,即使你運行最新的JRE,也不能抵御log4shell漏洞的利用攻擊。如下圖。
參考資源:
1、https://www.cyberscoop.com/log4j-cisa-easterly-most-serious/
2、https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/
3、https://nitter.nixnet.services/wdormann/status/1470505967196545025#m
來源:網(wǎng)空閑話