您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
關(guān)于Log4j漏洞:持續(xù)后果影響的警告...
關(guān)于Log4j漏洞:持續(xù)后果影響的警告和防御措施有效性的警告
Logo4j漏洞目前看怎么形容其嚴(yán)重性都不為過(guò),預(yù)計(jì)其影響的嚴(yán)重性、長(zhǎng)期性與當(dāng)年的wannacry不相上下。當(dāng)?shù)貢r(shí)間13日,美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency)局長(zhǎng)珍·伊斯特利(Jen Easterly)在當(dāng)天的電話簡(jiǎn)報(bào)中告訴行業(yè)領(lǐng)袖,log4j(或稱為log4shell)漏洞將成為她職業(yè)生涯中遇到的最嚴(yán)重的漏洞,至少是之一。與此同時(shí),在眾多安全廠商給出的防范措施中,也出現(xiàn)了不同的反應(yīng)。在國(guó)外首報(bào)該漏洞分析的安全廠商Lunasec在其最新的博文中指出了關(guān)于有些防御措施有效性的質(zhì)疑,甚至是批評(píng)。
伊斯特利在談到Apache Log4j漏洞時(shí)說(shuō):“我們預(yù)計(jì)這個(gè)漏洞會(huì)被經(jīng)驗(yàn)豐富的威脅行為者廣泛利用,我們只有有限的時(shí)間來(lái)采取必要的措施,以減少破壞的可能性?!标P(guān)鍵問(wèn)題,這是一個(gè)未經(jīng)身份驗(yàn)證的遠(yuǎn)程執(zhí)行漏洞,它可能允許入侵者接管受影響的設(shè)備。
CISA漏洞管理辦公室的Jay Gazlay在與關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商的通話中表示,數(shù)億臺(tái)設(shè)備可能會(huì)受到影響。
CISA負(fù)責(zé)網(wǎng)絡(luò)安全的執(zhí)行助理主任埃里克·戈?duì)柎奶?Eric Goldstein)說(shuō),該機(jī)構(gòu)最快將于當(dāng)?shù)貢r(shí)間14日建立一個(gè)專門的網(wǎng)站,提供信息并打擊“活躍的虛假信息”。他說(shuō),該漏洞“允許遠(yuǎn)程攻擊者輕松控制并利用存在該漏洞的系統(tǒng)”。
此次行業(yè)簡(jiǎn)報(bào)是世界各地政府官員發(fā)出的最新警告。剛剛這個(gè)周末,CISA與奧地利、加拿大、新西蘭和英國(guó)等國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)一道發(fā)出了警告
Goldstein說(shuō),CISA預(yù)計(jì)各種攻擊者都將利用這個(gè)漏洞,從加密者到勒索軟件組織等等。他說(shuō),“目前”沒(méi)有證據(jù)表明供應(yīng)鏈?zhǔn)艿搅朔e極的攻擊。
在談到此次漏洞應(yīng)用的艱巨性時(shí),Gazlay說(shuō),組織需要“持續(xù)的努力”才能變得安全,即使在應(yīng)用了Apache的補(bǔ)丁后,也需要勤奮。Gazlay說(shuō):“沒(méi)有一個(gè)單一的行動(dòng)可以解決這個(gè)問(wèn)題?!闭J(rèn)為任何人“將在一兩個(gè)星期內(nèi)完成”是錯(cuò)誤的。
伊斯特利局長(zhǎng)的建議是,確保各機(jī)構(gòu)在假期期間都有自己的安全團(tuán)隊(duì),采取“所有必要措施消除容易被利用的弱點(diǎn)”,并與CISA分享比平時(shí)更多的信息。
而在網(wǎng)絡(luò)安全從業(yè)者中,相關(guān)防御措施的有效性討論不斷深入,Lunasec的最新博文中列出幾點(diǎn),稱為”已知的壞建議”。
文章中稱,“以下是我們?cè)诰W(wǎng)上看到的所有被誤導(dǎo)和危險(xiǎn)的建議。如果您在網(wǎng)上看到包含以下任何內(nèi)容的建議,我們請(qǐng)您與作者分享這篇文章,以幫助限制Log4Shell的影響。”
1、WAF不會(huì)將您從Log4Shell中拯救出來(lái)
Log4Shell漏洞無(wú)法通過(guò)使用 WAF(Web 應(yīng)用程序防火墻)來(lái)緩解,因?yàn)樗灰竽梢怨_(kāi)訪問(wèn)它。內(nèi)部數(shù)據(jù)管道(如 Hadoop和Spark)以及桌面應(yīng)用程序(如NSA的 Ghidra)都受此影響。
此外,沒(méi)有簡(jiǎn)單的方法可以通過(guò)簡(jiǎn)單的WAF規(guī)則“過(guò)濾”惡意請(qǐng)求,因?yàn)?Log4Shell負(fù)載可能是嵌套的。
如果您使用的是易受攻擊的log4j版本,則緩解Log4Shell的唯一安全方法是通過(guò)本文下面詳述的策略之一。
2、僅僅更新Java并不足以(可能)長(zhǎng)期有效
網(wǎng)上有很多報(bào)告說(shuō)只有某些Java版本會(huì)受到影響,并且如果您使用較新的Java版本,則您是安全的。
我們認(rèn)為,在運(yùn)行易受攻擊的log4j版本時(shí),所有Java 版本(甚至當(dāng)前的Java 11版本)都會(huì)受到影響,這只是時(shí)間問(wèn)題。僅僅升級(jí)你的Java 版本是不夠的,你不應(yīng)該依賴它來(lái)長(zhǎng)期防御漏洞利用。
(技術(shù)解釋:我們收到的報(bào)告指出,仍然可以在服務(wù)器上實(shí)例化本地類,而不是當(dāng)前漏洞利用的遠(yuǎn)程類。請(qǐng)參閱我們關(guān)于此的最后一篇文章。)
3、簡(jiǎn)單地更新您的日志語(yǔ)句是危險(xiǎn)的
一些在線人建議將您的日志記錄語(yǔ)句從%m更新為%m{nolookupzz} 以緩解這種情況**。
這是一個(gè)糟糕的建議,我們不建議您遵循它。即使您今天設(shè)法100%修補(bǔ)您的應(yīng)用程序,您將來(lái)仍有可能不小心再次添加%m,然后您將再次受到攻擊。
此外,可能會(huì)在您的日志記錄語(yǔ)句中遺漏一行,或者如果有一個(gè)依賴項(xiàng)使用帶有%m的log4j而您沒(méi)有重新確認(rèn)。如果發(fā)生任何一種情況,您仍然會(huì)很脆弱。
我們強(qiáng)烈支持軟件的“默認(rèn)安全”心態(tài),我們建議您改用其他緩解措施之一。
注:**:這里的 zz 是故意錯(cuò)誤的,以防止盲目復(fù)制粘貼。原文作者的標(biāo)注。
另外,還有安全研究者指出了NVD和MITRE在描述該漏洞時(shí)的錯(cuò)誤,即使你運(yùn)行最新的JRE,也不能抵御log4shell漏洞的利用攻擊。如下圖。
參考資源:
1、https://www.cyberscoop.com/log4j-cisa-easterly-most-serious/
2、https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/
3、https://nitter.nixnet.services/wdormann/status/1470505967196545025#m
來(lái)源:網(wǎng)空閑話