Gurucul首席執(zhí)行官Saryu Nayyar表示��,“我無(wú)意對(duì)Log4j漏洞 ( CVE-2021-44228 )(稱為L(zhǎng)og4Shell)危言聳聽(tīng)��,但這個(gè)漏洞非常糟糕���。”
首先�����,Log4j是一個(gè)普遍存在的日志庫(kù)�,被數(shù)以百萬(wàn)計(jì)的計(jì)算機(jī)廣泛使用。其次��,美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)局長(zhǎng)表示����,這是她幾十年職業(yè)生涯中見(jiàn)過(guò)的最嚴(yán)重的漏洞���,許多安全專家也同意這一點(diǎn)。第三����,研究人員表示,網(wǎng)絡(luò)攻擊者已經(jīng)在每分鐘數(shù)百次地利用這個(gè)漏洞���。事實(shí)是����,Log4Shell相對(duì)來(lái)說(shuō)比較容易被利用�����,因此即使是技術(shù)水平較低的黑客也可以利用它���。
Log4j是Apache軟件基金會(huì)的開(kāi)源軟件。正如The Conversation所解釋的�,這個(gè)日志庫(kù)被廣泛用于記錄諸如常規(guī)系統(tǒng)操作和錯(cuò)誤之類的事件,并傳遞關(guān)于這些事件的診斷消息����。Log4j中的一個(gè)特性允許軟件用戶指定定制代碼來(lái)格式化日志消息��。這一特性還允許第三方服務(wù)器提交可以在目標(biāo)計(jì)算機(jī)上執(zhí)行各種操作(包括惡意操作)的軟件代碼�����。利用該漏洞的結(jié)果是����,攻擊者可以遠(yuǎn)程控制目標(biāo)服務(wù)器����。
攻擊者搶占先機(jī)
在 12 月中旬發(fā)現(xiàn)該漏洞的幾周內(nèi),據(jù)報(bào)道就有大量網(wǎng)絡(luò)威脅行為者已經(jīng)創(chuàng)建了用于快速大規(guī)模利用此漏洞的工具包��。Log4Shell 也成為了在全球范圍內(nèi)活動(dòng)的勒索軟件和僵尸網(wǎng)絡(luò)團(tuán)伙的寵兒����。這個(gè)漏洞的真正危險(xiǎn)在于,有很多方法可以利用它達(dá)到惡意目的��。
Log4j在業(yè)務(wù)系統(tǒng)中有多流行?Wiz和Ernst & Young對(duì)200多個(gè)企業(yè)擁有數(shù)千個(gè)云帳戶的云環(huán)境進(jìn)行的分析表明�����,其中93%的環(huán)境存在漏洞風(fēng)險(xiǎn)。
谷歌研究人員發(fā)現(xiàn)����,在大型Java包存儲(chǔ)庫(kù)Maven Central上,超過(guò)8% 的包至少有一個(gè)版本受到此漏洞的影響����,按所有生態(tài)系統(tǒng)影響標(biāo)準(zhǔn)衡量,這是一個(gè)“巨大”的數(shù)量����。
所以,這個(gè)漏洞的存在相當(dāng)廣泛����。至于對(duì)全球的影響,現(xiàn)在下結(jié)論還為時(shí)過(guò)早����。這在很大程度上取決于組織如何應(yīng)對(duì)這種威脅���。
每個(gè)人都應(yīng)該采取行動(dòng)
對(duì)于每個(gè)受此影響的人來(lái)說(shuō)�����,如果這種脆弱性存在于面向公眾的系統(tǒng)中�����,那么無(wú)論是在商業(yè)上還是在道德上��,都有必要立即采取措施來(lái)減輕該漏洞��。當(dāng)然����,沒(méi)有企業(yè)希望自己的系統(tǒng)容易受到攻擊,從而導(dǎo)致數(shù)據(jù)被破壞或被盜��,并可能導(dǎo)致嚴(yán)重的業(yè)務(wù)中斷����。
CISA發(fā)布了一份“立即行動(dòng)”清單,組織采取這些行動(dòng)來(lái)糾正Log4Shell所帶來(lái)的風(fēng)險(xiǎn)��。首要行動(dòng)是通過(guò)確定哪些資產(chǎn)使用Log4j軟件及其嚴(yán)重程度���,然后應(yīng)用適當(dāng)?shù)难a(bǔ)丁����。
在此之后,企業(yè)可以模擬假定受到了攻擊��,并在系統(tǒng)中尋找惡意活動(dòng)的跡象��,并監(jiān)視可能表明正在進(jìn)行攻擊的奇怪流量模式或行為��。
您的安全工具有多有效?
依賴于傳統(tǒng)的基于規(guī)則的檢測(cè)和模式匹配的安全工具可能很容易在此漏洞利用的早期捕獲一些由注入的惡意軟件執(zhí)行的命令����。然而,隨著 Log4Shell 的變體具有更好的執(zhí)行策略��,傳統(tǒng)的安全信息和事件管理 (SIEM) 以及擴(kuò)展檢測(cè)和響應(yīng) (XDR) 工具可能難以識(shí)別攻擊��,除非工具供應(yīng)商對(duì)規(guī)則庫(kù)進(jìn)行非常頻繁的更新�。那是不切實(shí)際的。采用包括機(jī)器學(xué)習(xí)����、人工智能和行為分析等一些高級(jí)檢測(cè)方法的分層安全方法也至關(guān)重要。
每個(gè)組織都應(yīng)該有一個(gè)緩解計(jì)劃�,以防將來(lái)出現(xiàn)類似的情況�。無(wú)論是關(guān)閉有問(wèn)題的軟件,還是立即打補(bǔ)丁并在重新投入生產(chǎn)之前對(duì)補(bǔ)丁進(jìn)行測(cè)試����,團(tuán)隊(duì)都需要在數(shù)小時(shí)甚至數(shù)分鐘內(nèi)準(zhǔn)備好主動(dòng)響應(yīng)����。
Log4Shell給每個(gè)人敲響了警鐘����。在下一個(gè)漏洞出現(xiàn)之前,我們不應(yīng)該對(duì)此次視而不見(jiàn)��。數(shù)據(jù)顯示�����,90%的網(wǎng)絡(luò)安全事件和軟件漏洞被利用有關(guān)�,在軟件開(kāi)發(fā)期間通過(guò) 靜態(tài)代碼檢測(cè)可以幫助開(kāi)發(fā)人員減少30%-70%的安全漏洞,大大提高軟件安全性�����。少出現(xiàn)一個(gè)安全漏洞�,也就意味著為企業(yè)網(wǎng)絡(luò)安全多一份保障。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
