如何對抗Log4j漏洞

利北晶

為什么企業可能已經處于危險之中，現在如何檢測和緩解Log4j漏洞，以及如何在未來提高您的代碼安全性。

早些時候，安全研究人員發現了用于數萬個Web應用程序的Log4jJava軟件中的一系列主要漏洞。該代碼廣泛用于消費者和企業系統，從Minecraft、Steam和iCloud到Fortinet和RedHat系統的所有系統。一位分析師估計數百萬個端點可能面臨風險。

Log4j只是一系列軟件供應鏈攻擊中的最新一次，包括其構建過程受損（SolarWinds）和攻擊者替換了帶有惡意軟件的代碼（Kaseya）。

自從第一個Log4j漏洞曝光以來，安全供應商和分析師已經發布了大量有關該做什么的信息，范圍遍及整個地圖。有些人發布了接近世界末日的情景，而其他人則沒有那么可怕的預測。CheckPointSoftwareTechnologies已經在其近50 %的客戶群中發現了漏洞利用企圖。ContrastSecurity發現58 %的Java應用程序存在易受攻擊的版本，有37 %使用Log4j。

這4個問題分別是CVE-2021-44228、CVE-2021-45046、CVE-2021-4104和CVE-2021-45105。美國網絡安全和基礎設施安全局正在維護一個網頁，其中包含指向各種供應商博客的鏈接，以及受影響的應用程序列表，并試圖通過任何修復程序保持更新。這些問題涉及日志軟件的幾個特性，包括Java命名和目錄接口（JDNI）和JMSAppender事件消息，這二者都允許遠程代碼執行。使這組漏洞變得危險的原因是攻擊者不需要很多專業知識即可獲得這種遠程訪問。最后一個漏洞是指拒絕服務條件，讓每個人都保持警覺。最近，Blumira發現了一種新的攻擊向量，它使用WebSockets擴大了整個表面。

可能已經處于危險之中

在您開始鎖定問題之前，Mitiga的首席運營官ArielParnes警告說：“您應該查看組織是否已經在過去某個時候使用Log4j遭到黑客攻擊。罪犯可能已經在里面了。”IT經理JohnCronin提出了關鍵問題：“您知道您的哪些服務器使用Log4j？生成這些服務器的列表需要多長時間？你能及時修補它們嗎？你有自動化工具還是有人需要登錄每臺服務器并手動完成？您是否有在高峰使用時間修補實時生產服務器的流程？”當然，回答這些問題需要付出一些努力。

安全分析師發現了可追溯到2021年12月1日的漏洞利用，使用范圍廣泛的網絡協議，包括LDAP、RMI、DNS和HTTP。這些漏洞已經安裝了各種惡意軟件，包括隱藏的加密貨幣礦工、Bitdefender稱為Khonsari的新型勒索軟件系列，以及加入Mirai僵尸網絡的代碼。

即時防御計劃

您的第一道防線是升級到最新的Log4j版本。最初，Apache發布了一個補丁，結果證明仍然存在漏洞。最新版本是Log4jv.2.17.0（如果您運行的是Java8或更高版本）和Log4jv. 2.12.2（如果您在整個Web應用程序基礎架構中運行Java7）。這些默認關閉JNDI并刪除消息查找訪問權限，這二者都是各種漏洞的核心。禁用JNDI可能會破壞您應用程序中的某些內容，因此您在任何生產系統實施之前，請仔細測試。

如果您應用程序不需要任何基于Java的日志記錄，想停止它，同樣，在部署之前進行測試。

那些運行Minecraft服務器的人應該檢查它是否在運行Minecraftv.1.8.8或更高版本；這些版本是易受攻擊的。微軟發布了Minecraftv.1.18.1，修復了這個問題。您應該立即升級或找到另一個更值得信賴的已修復服務器。

有哪些檢測工具可用

安全供應商加班加點來擴充他們的工具，您應該利用各種免費優惠。下面列出了各種掃描器，可用于在運行的應用程序或源文件中定位易受攻擊的代碼，確定該代碼是否已部署在任何生產實例中。

Qualys有30天的Web應用程序掃描器免費試用期，并在他們的博客上提供了有關如何使用它的說明；

CheckPoint的CloudGuardAppSec是另一款掃描儀，還有30天的免費試用期；

CERT有一系列使用Windows、Python和Bash編寫的掃描儀；

如果您使用BurpSuite，IBM的X-Force有它的免費掃描器，SilentSignal有它的插件；

WhiteSource有免費的掃描儀；

JFrog擁有基于Python的無Xray掃描工具來檢查您自己的Java代碼庫。

OrcaSecurity有一個免費的在線工具，可以掃描AWS、Azure和GoogleCloud環境，并提供30天的平臺試用期。

提高編碼安全性的長期策略

首先，了解代碼依賴。Log4j的挑戰之一是它的流行度和包含在眾多Java庫中。一旦您在自己的代碼中根除舊版本，就該調查您正在運行的其他依賴于它的版本。如果您使用Apache框架Struts2，Flume，Dubbo，Kafka，Solr，Druid，Fink，則必須升級這些項目中的Log4j庫。如果Struts引起了人們的注意，那么2017年的一次漏洞利用導致Equifax的數據庫遭到入侵，泄露了超過1.4億客戶的私人數據。

WeHackPurple的TanyaJanca（一個優秀的應用程序安全來源）建議使用dependencyGraph、Snyk或OWASP的Dependency-Check。一旦找到任何依賴項，如果不能立即修補它，請注釋掉調用Log4j的代碼。

了解Web應用程序防火墻（WAF）的工作原理。如果沒有WAF，現在是時候入手一個了。如果代碼部署在WAF后面，請打開他們的檢測規則并檢查供應商是否已更新其規則以涵蓋所有最新漏洞。但要意識到，自從該漏洞被公布以來，研究人員已經展示了許多構建嵌套和混淆有效載荷的方法，這些有效載荷可以繞過提議的WAF過濾規則。Fastly對如何測試WAF有效性進行了廣泛的解釋。

利用Log4j漏洞緩解和補丁工具，許多公司已經為Log4j提供了緩解工具：

Cybereason整理了此代碼，LunaSec進一步改進了它并將其作為公共服務托管在實時服務器上。

來自AmazonWebServices的Corretto團隊開發了一個嘗試修補Log4j的Java代理，該代理可在GitHub上獲得。

ContrastSecurity具有SafeLog4j，它可以檢測和修補，據說可以抵御WAF繞過攻擊。

Cisco提供其安全端點的30天免費試用，還有其他端點供應商已包含檢測規則，包括MicrosoftDefender（但目前僅適用于Windows版本）。

如果使用容器，將需要特殊的保護產品。例如，RedHat更新了他們的Kubernetes高級集群安全，PaloAltoNetworks更新了它的PrismaCloud。