12月初发现的Apache Log4j远程代码漏洞使得整个网络安全行业——从从业者到供应商——都急于了解这个漏洞, 确定影响系统, 并确定最佳对策, 特别是如果快速更新系统是不可能的.
严重程度和影响
如果您还不知道Log4j 0天漏洞是什么,它意味着什么, 这篇文章 是入门,但这里有一些简单的事实:
供应商应用程序:Apache Log4j (v2)
CVSS分数: 10.0至关重要
影响:完全跨机密性、完整性和可用性
cwe - 502: 反序列化不可信数据
描述:通过记录特定字符串允许远程代码执行(RCE)
Log4j被认为是 最严重的安全漏洞 行业. 民族国家和加密矿工已经抓住了深入挖掘、有利可图的机会. 是什么让这种脆弱获得如此恶名昭彰的赞誉? 开发的便利性、影响的深度以及Apache日志库的广泛使用. Log4j被大多数Java应用程序使用, 嵌入到无数的其他应用程序中, 并包含在Apache Struts等开源项目中.
怎样才能从潜在的目标变成妥协的目标? 一个容易受到攻击的服务器,可以使用Log4j接受并记录恶意字符串. 这可以在任何协议上完成,包括使用最常见的协议的web请求. 在用户代理字段中包含它通常会被记录下来. 在您的环境中发现它是非常困难的, 对外部服务器的危害在内部传播的可能性非常大.
有一些工具可以帮助您在组织中识别它, 从漏洞扫描器到独立的测试工具,比如 女猎人. 专业服务可以帮助组织在其环境中努力识别Log4j. Sirius的专业服务团队提供丰富的经验,帮助您评估风险水平并制定补救计划.
现在就行动
GPK电子游戏的建议是假设你被入侵了. 立即增强对内部攻击的监视,然后转移到减轻影响.
步骤1: 识别使用Log4j日志库的外部自定义和第三方应用程序. 验证补丁和配置,并确保随机的互联网地址被阻止. 这可能需要漏洞扫描或手动验证. 出口过滤是一种基本的措施, 但它确实有效——阻止外部服务器发出的请求, 特别是LDAP端口. 直到你完成这个, 使用防火墙和web应用程序防火墙(WAFs)来阻止和监控Log4j的任何搜索. 请记住,WAF规避和混淆方法已经很普遍了.
步骤2: 识别并保护您的内部应用程序. 即使没有外部访问,这些也存在风险. 攻击者可以利用其他网络访问方法来寻找、查找和利用内部实例. 因为内部应用的使用通常有多种因素, 手工处理将是冗长而耗时的.
缓解资源
个别制造商正在发布补丁和影响通知, 值得你花时间去研究一下. 从思科(Cisco)到帕洛阿尔托网络(Palo Alto Networks)等主要安全供应商都受到了影响, 而这一名单正在迅速变化. 随着这种脆弱性的严重程度和影响范围不断扩大,建议也在不断制定, 页面底部的链接资源可以帮助您掌握当前的情况.
Log4j保护的最佳工具
如果您已经有了这些解决方案,请确保它们得到了优化并按预期运行. 下面列出的任何解决方案,如果不在你的工具包中,都应该是立即实施的有力竞争者:
分割/防火墙: 最小特权网络和微分割的概念可能是防止Log4J攻击和类似攻击的最有效方法. 这种攻击需要服务器连接到攻击者, 在一般情况下,哪些应用程序设计不应该被允许. 基本的出口过滤应该允许客户端与服务器对话并响应该请求, 但绝不允许服务器创建与客户端的连接. 有些例外情况会忽略此过滤器, 而且许多服务器确实会与其他服务进行通信. 但是这应该被映射为一个特定的默认拒绝, 阻止任何不允许的出站. 微分割通过不允许客户端与服务器或内部系统对话(除非在授权协议上),将其提升到服务器组级别. 攻击范围是有限的,并创造了更多的方法来检测异常的网络行为.
端点保护和端点检测和响应(EPP/EDR): 当与特定于工作负载的工具结合使用时, EPP/EDR工具非常擅长识别和防止系统损坏. 虽然它们通常不会阻止该漏洞被使用, 他们确实看到了由此产生的指挥和控制,以及任何其他完全妥协和接管其他系统的努力. 一个强大的EDR工具也可以记录所有的文件触摸, 网络连接, 程序开始了,法医对发生的事情进行更快的分析. 使用用户行为指标的高级EPP工具在检测这些攻击时要有效得多,因为攻击后的行为看起来非常相似.
网络检测与响应(NDR): 分析与服务器之间的网络通信对于识别系统中的漏洞至关重要. NDR有助于识别命令控制和异常网络行为. 存储网络数据的时间越长越好——至少30天, 但是90天比较好, 最好是12个月. 当新的妥协指标(IOCs)出现时,长时间的保留可以让你回顾,看看是否有系统与最近确定的系统进行了沟通, 协议或有效载荷.
监控/ SIEM / UEBA: 检测在解决这个问题中扮演着重要的角色,因为防止一切都是不可能的. 减少检测和响应的时间有助于限制这些攻击的影响,并提高对攻击真正范围的了解. 基于行为的解决方案结合了针对已识别的攻击者行为的警报和针对异常应用程序行为的警报,是一种强大的资源. 应用程序行为通常不会改变. 当应用程序开始进行出站连接时, 与不同的协议通信, 或者与新的系统和账户进行对话, 它是通过基于行为的监视来检测的.
漏洞扫描: 试图找到Log4j在环境中的位置是非常困难的,因为它嵌入了很多系统. 传统的漏洞扫描将有助于识别Log4j实例, 影响商业应用, 和产品的影响. 更困难的地区, 例如带有嵌入式Log4j的定制应用程序和不容易识别的固件的物联网设备, 可能需要更高级的漏洞扫描. 漏洞扫描器功能将继续改善结果, 但是有些系统和应用程序需要单独的定制测试.
Log4j的扩展含义
迄今为止,大多数利用该漏洞的攻击都是机会主义的,而不是有针对性的, 但随着越来越多的团体和个人黑客利用这一点,这种情况将在未来几天发生改变. 随后的攻击, 对策, 这种脆弱性带来的恢复将持续到2022年 开发活动的变化 持续增长.
在未来的几年里,这个漏洞将成为钢笔测试人员的最爱. 外部清理可能会出现相对快速,因为攻击者会在自己清理后升级补丁和更新工作. 但是完全的检测是困难的,所以这将潜伏在系统中很长一段时间未被发现.
变化的情况
对于补救有很好的建议, 检测, 目前的预防措施, 但这种情况和可获得的信息每天都在变化. 安全研究人员已经否定了一些早期的建议, 绕过早期预防和检测实践的WAF规避和混淆方法已经出现. 安全行业现在正全力关注这个漏洞, 进化将继续. 预计更新将修复安全社区在Log4j应用程序中发现的其他问题. 随着GPK电子游戏了解的更多,GPK电子游戏将在这里更新信息. 减轻这种脆弱性是一项长期的工程, 随着理解的加深,安全工作需要继续进行.
更快地检测和缓解
Sirius提供专业服务,帮助您发现和解决系统中的漏洞. GPK电子游戏的团队使用先进的方法来扫描代码和审查日志, GPK电子游戏还提供漏洞扫描, 笔测试, 修补援助, 以及其他的安全评估. 欲了解更多,请联系您的GPK电子游戏代表或 今天GPK电子游戏. GPK电子游戏的安全团队已准备好与您合作,使您的组织克服该漏洞的影响.
