Log4j零日缺陷:你需要知道什么以及如何保护自己

OD真人官网

Log4j零日缺陷:你需要知道什么以及如何保护自己

Log4j漏洞影响到从云到开发人员工具和安全设备的方方面面. 根据最新的信息,这里有一些值得注意的地方.

 

Log4j的一个缺陷, 用于在应用程序中记录错误消息的Java库, 这是目前互联网上最引人注目的安全漏洞吗?它的严重程度是10分吗.

这个库是由开源的Apache软件基金会开发的,是一个关键的java日志框架. 自上周新西兰CERT发出CVE-2021-44228警报以来, Log4j中的远程代码执行缺陷, 已经在野外被利用了吗, 几家国家OD真人官网机构已经发布了警告, 包括OD真人官网与基础设施安全局(CISA)和英国国家OD真人官网中心(NCSC). 互联网基础设施提供商Cloudflare表示,Log4j漏洞始于12月1日.

哪些设备和应用程序处于危险之中?
基本上,如果运行Apache Log4J,任何暴露在互联网上的设备都有风险, 版本2.0 to 2.14.1. NCSC注意到Log4j版本2 (Log4j2), 受影响的版本, 是否包含在Apache Struts2, Solr, 德鲁伊, Flink, 和迅速的框架.

Mirai, 以各种联网(IoT)设备为目标的僵尸网络, 对漏洞采取了exploit吗. 思科和VMware已经分别针对其受影响的产品发布了补丁.

AWS详细说明了该漏洞对其服务的影响,并表示正在为使用Log4j的服务打补丁,并发布了针对CloudFront等服务的缓解措施.

同样的, IBM表示,它正在IBM自己的基础设施和产品中“积极应对”Log4j漏洞. IBM已经确认了Websphere 8.5和9.0是脆弱的.

甲骨文也发布了针对该漏洞的补丁.

“由于这个漏洞的严重性,以及各种网站上发布的利用代码, 甲骨文强烈建议客户尽快应用此安全警报提供的更新,“这说.

必要的操作:发现设备并打补丁
CISA的主要建议是识别运行Log4j的面向inter净的设备,并将它们升级到版本2.15.0,或“立即”应用供应商提供的缓解措施. 但它也建议为运行Log4j的设备上的探测或攻击设置警报.

“需要明确的是,这种脆弱性构成了严重的风险,”中国钢铁工业协会主任珍·伊斯特利(Jen Easterly)周日说. “我们将通过政府和私营部门的合作努力,将潜在的影响降至最低. 我们敦促所有组织同我们一道作出这一重要努力并采取行动.”

Additional steps recommended by CISA include: enumerating any external facing devices with Log4j installed; ensuring the security operations center actions every alert with Log4j installed; and installing a web application firewall (WAF) with rules to focus on Log4j.

AWS已经更新了它的WAF规则集——AWSManagedRulesKnownBadInputsRuleSet AMR——以检测和减轻Log4j攻击尝试和扫描. 它还可以为CloudFront启用缓解选项, 应用程序负载均衡器(ALB), API网关, 和AppSync. 它目前还在更新所有亚马逊 OpenSearch服务到Log4j的补丁版本.

NCSC建议更新到版本2.15.0或更高版本,并且(在不可能的情况下)减少Log4j 2中的缺陷.通过设置系统属性“log4j2.将JndiLookup类从类路径中移除.

挑战的一部分将是识别隐藏Log4j漏洞的软件. 荷兰国家OD真人官网中心(NCSC)在GitHub上发布了一份全面的、来源齐全的a - z名单,上面列出了它所知道的所有受影响的易受攻击的产品, 不脆弱, 正在接受调查, 或者哪里有修补程序可用. 该产品列表说明了该漏洞的普遍性, 跨越云服务, 开发人员服务, 安全设备, 地图服务, 和更多的.

有流行产品的供应商仍然很脆弱,包括Atlassian, 亚马逊, 微软Azure, 思科, Commvault, ESRI, 确切的, Forti净, JetBrains, 纳尔逊, Nutanix, OpenMRS, 甲骨文, 红色的帽子, Splunk, 软, 和VMware. 当添加已经发布补丁的产品时,这个列表就更长了.

NCCGroup发布了一些网络检测规则,以检测利用尝试和成功利用的指标.

最后, 微软发布了一套防止Log4j漏洞受到攻击的折中指标和指南. 微软发现的漏洞事后利用的例子包括安装挖币机, 钴击使证件盗窃和横向移动, 以及从受损系统中窃取数据.

Log4j是什么?
Log4J是一个广泛使用的Java库,用于在应用程序中记录错误消息. 它用于企业软件应用, 包括那些由企业内部开发的定制应用程序, 并且是许多云计算服务的组成部分.

Log4j在哪里使用?
Log4j 2库用于企业Java软件,根据英国的NCSC,它包含在Apache框架中,如Apache Struts2, Apache Solr, Apache德鲁伊, Apache Flink, 和Apache迅速.

哪些应用程序会受到Log4j缺陷的影响?
因为Log4j被广泛使用, 该漏洞可能会影响来自许多主要供应商的非常广泛的软件和服务. 根据NCSC的说法,一个应用程序是脆弱的“如果它使用不受信任的用户输入,并将其传递给一个脆弱版本的Log4j日志库。.”

Log4j缺陷被利用的范围有多广?
Security experts have warned that there are hundreds of thousands of attempts by hackers to find vulnerable devices; over 40 percent of corporate 净works have been targeted according to one security company.

 

 

由Liam Tung撰写,撰稿人,2021年12月14日

获得最新的更新,优惠,信息 & 更多的