Log4j漏洞給網路安全世界帶來壓力

Gurucul執行長Saryu Nayyar表示，“我無意對Log4j漏洞 ( CVE-2021-44228 )(稱為Log4Shell)危言聳聽，但這個漏洞非常糟糕。”

首先，Log4j是一個普遍存在的日誌庫，被數以百萬計的計算機廣泛使用。其次，美國網路安全與基礎設施安全域性(CISA)局長表示，這是她幾十年職業生涯中見過的最嚴重的漏洞，許多安全專家也同意這一點。第三，研究人員表示，網路攻擊者已經在每分鐘數百次地利用這個漏洞。事實是，Log4Shell相對來說比較容易被利用，因此即使是技術水平較低的駭客也可以利用它。

Log4j是Apache軟體基金會的開源軟體。正如The Conversation所解釋的，這個日誌庫被廣泛用於記錄諸如常規系統操作和錯誤之類的事件，並傳遞關於這些事件的診斷訊息。Log4j中的一個特性允許軟體使用者指定定製程式碼來格式化日誌訊息。這一特性還允許第三方伺服器提交可以在目標計算機上執行各種操作(包括惡意操作)的軟體程式碼。利用該漏洞的結果是，攻擊者可以遠端控制目標伺服器。

攻擊者搶佔先機

在 12 月中旬發現該漏洞的幾周內，據報導就有大量網路威脅行為者已經建立了用於快速大規模利用此漏洞的工具包。Log4Shell 也成為了在全球範圍內活動的勒索軟體和殭屍網路團伙的寵兒。這個漏洞的真正危險在於，有很多方法可以利用它達到惡意目的。

Log4j在業務系統中有多流行?Wiz和Ernst & Young對200多個企業擁有數千個雲帳戶的雲環境進行的分析表明，其中93%的環境存在漏洞風險。

谷歌研究人員發現，在大型Java包儲存庫Maven Central上，超過8% 的包至少有一個版本受到此漏洞的影響，按所有生態系統影響標準衡量，這是一個“巨大”的數量。

所以，這個漏洞的存在相當廣泛。至於對全球的影響，現在下結論還為時過早。這在很大程度上取決於組織如何應對這種威脅。

每個人都應該採取行動

對於每個受此影響的人來說，如果這種脆弱性存在於面向公眾的系統中，那麼無論是在商業上還是在道德上，都有必要立即採取措施來減輕該漏洞。當然，沒有企業希望自己的系統容易受到攻擊，從而導致資料被破壞或被盜，並可能導致嚴重的業務中斷。

CISA釋出了一份“立即行動”清單，組織採取這些行動來糾正Log4Shell所帶來的風險。首要行動是透過確定哪些資產使用Log4j軟體及其嚴重程度，然後應用適當的補丁。

在此之後，企業可以模擬假定受到了攻擊，並在系統中尋找惡意活動的跡象，並監視可能表明正在進行攻擊的奇怪流量模式或行為。

您的安全工具有多有效?

依賴於傳統的基於規則的檢測和模式匹配的安全工具可能很容易在此漏洞利用的早期捕獲一些由注入的惡意軟體執行的命令。然而，隨著 Log4Shell 的變體具有更好的執行策略，傳統的安全資訊和事件管理 (SIEM) 以及擴充套件檢測和響應 (XDR) 工具可能難以識別攻擊，除非工具供應商對規則庫進行非常頻繁的更新。那是不切實際的。採用包括機器學習、人工智慧和行為分析等一些高階檢測方法的分層安全方法也至關重要。

每個組織都應該有一個緩解計劃，以防將來出現類似的情況。無論是關閉有問題的軟體，還是立即打補丁並在重新投入生產之前對補丁進行測試，團隊都需要在數小時甚至數分鐘內準備好主動響應。

Log4Shell給每個人敲響了警鐘。在下一個漏洞出現之前，我們不應該對此次視而不見。資料顯示，90%的網路安全事件和軟體漏洞被利用有關，在軟體開發期間透過 靜態程式碼檢測可以幫助開發人員減少30%-70%的安全漏洞，大大提高軟體安全性。少出現一個安全漏洞，也就意味著為企業網路安全多一份保障。

文章來源：

https://threatpost.com/log4j-vulnerability-pressures-security-world/177721/