202112月,核弹级漏洞(Log4Shell )被曝光,扰乱了全世界企业安全人员的梦想。Log4j漏洞利用成本极低,可以直接用任何代码执行,接管目标服务器。它的潜在危害严重性和影响力可以说是2021年最大的,短时间内攻击了全球近一半的企业网络,并在互联网上迅速传播。
那么Log4j漏洞是什么?阿卡迈科技有限公司是一家负责保护和交付数字体验的解决方案提供商,深受全球企业的信赖(Akamai Technologies,Inc.,以下简称:Akamai)对Log4j 详细分析了漏洞的背景、利用攻击和环境措施以及经验教训。
利用各种攻击形式的漏洞,攻击面广泛
Log4j是Apache通过使用开源项目Log4j,控制日志信息传输的目的地是控制台、文件、GUI组件,甚至套接口服务器,NT事件记录器,UNIXSyslog守护进程等等,您还可以通过定义每个日志信息的级别来控制每个日志的输出格式,并更详细地控制日志的生成过程。这些都可以通过配置文件在不修改应用代码的情况下,灵活配置。
Log4j 库的普及,以及它提供的查找、嵌套和JNDI 等丰富的功能为攻击者打开了为攻击者打开了一扇方便的门。这些强大的功能为开发者提供了便利,但也让攻击者有机会通过传输请求导致数据泄漏或远程代码执行(RCE)。
JNDI(Java 命名和目录接口Java 在开发和运行环境中建立的机制简化了通过通用接口查询不同目录服务以获取信息的过程。如果没有JNDI 查询,这个漏洞也不存在。
JNDI 不仅允许查询Java 还允许查询运行环境中的本地数据DNS 和LDAP 等远程系统。攻击者可以JNDI 与远程系统,env 搜索与嵌套相结合,创建一个攻击载荷,只需添加到要记录在日志中的文本中,就可以导致数据泄漏。只要是 Log4j 精心编制的攻击载荷可以轻松泄露目标环境的数据。
简而言之,只要在某个环境中运行的软件包含 Log4j 找到表达式访问和漏洞代码,然后攻击者可以通过嵌套将环境中的信息强制传输到攻击者控制的系统。
另外,有些 Java 版本中的 JNDI 默认允许一些目录服务通过远程代码直接或间接响应查询,然后启动查询的机器可以在当地执行这些远程代码。例如,在有漏洞的安装环境中,LDAP 目录服务提供程序允许 LDAP 服务器使用被称为参考的内容来响应查询。该参考将列出将下载到本地并在本地执行的代码的远程位置。
这些威胁很大的攻击都需要 Log4j 传递专门编制的信息,攻击者可以利用攻击系统将其提供的信息记录在日志中。
据Akamai基于 的观察发现Web 的应用程序目前是主要的攻击目标,远远超过任何其他攻击目标。但值得注意的是,任何符合以下条件的服务都可能成为漏洞用户的攻击媒介:
- 运行 Java
- 使用存在漏洞的 Log4j 版本记录日志新闻
- 记录攻击者提供的任何信息(URL、标头、Cookie、查询等)
此外,Akamai 在现实攻击环境中观察到另一种针对 DNS 的攻击媒介是 DNS 攻击载荷嵌入在响应中。
Log4j 是 Java 是世界上应用最广泛的日志库之一,世界上运行着数十亿设备Java。可想而知,这个漏洞的实际威胁远远超出我们的想象,严重性不言而喻。
Akamai建议及时安装系统补丁,正确实施缓解措施
随着时间的推移,攻击者可以用来针对它Log4j 漏洞攻击的攻击媒介越来越多,唯一真正的解决方案是为所有漏洞系统安装补丁。对此,Akamai 提出了一些行动方案建议:
- 能够安装补丁的系统应立即修复。此举可以提供理想的保护措施,以确保您的操作 Log4j 是最新版本。
- 如果您确定某些系统存在漏洞,但由于客观原因不能立即升级 Log4j,因此,应尽可能使用以下设置来减少威胁:
- 对于 Log4j 2.10 和更高的版本在启动时将其传递给应用程序-Dlog4j2.formatMsgNoLookups=true,这样做可以禁用搜索表达式。Java,确保您的系统采用以下设置:com.sun.jndi.ldap.object.trustURLCodebase=false com.sun.jndi.rmi.object.trustURLCodebase=false
- 运行 WAF(比如 Akamai 卓越的 Kona 解决方案)保护你所有 Web 应用程序有助于过滤攻击试图。内外服务器都应采取这种保护措施。
- 运行 DNS 防火墙(如 Akamai Enterprise Threat Protector),在你的环境中横向移动的可疑 DNS 攻击载荷并阻止。
- 运行相关工具,全面监控整个环境的运行内容,包括本地物理机器和云环境。使用各种工具(如 Akamai Guardicore Segmentation 提供的工具)监控环境中运行的所有内容,并使用这些工具找到您以前可能不知道的应用程序。
- 尽量减少受影响应用程序的通信。使用基于身份的细分机制(如 Akamai Guardicore Segmentation 细分机制)限制可以与有漏洞的系统通信。
Akamai 还建议,在设计和执行修补策略时,同时实施这些抵御策略可以显着降低存在漏洞的系统面临的风险。
Akamai充分发挥自身优势,量化漏洞风险评估
随着Log4j 漏洞危机的持续发酵,其风险广泛程度也引起了大家的密切关注。对于此,Akamai 威胁研究实验室利用自身对全球海量数据中心的监控能力,从全球200多个不同行业、不同规模的数据中心收集相关数据进行评估Log4j 漏洞给企业带来的实际风险:
- 所有检查Java 三分之二的服务器在服务器中使用漏洞Log4j 框架。
- 91% 在研究数据中心运行Java 服务器端应用程序;在这部分数据中心,40%以上的 面向互联网Java 服务器。
- 在观察出站通信模式时,我们研究的绝大多数Java 应用程序通过几个端口通信。
- 分析出站通信模式可以帮助企业检测异常行为,缓解异常行为Log4Shell 部分风险。
Akamai 威胁研究实验室Java 服务器的通信模式发现,限制允许从数据中心发送的不同服务器和流程的通信是非常重要的。到目前为止,它首次通过一组特定的端口通信进行识别,以有效地识别攻击尝试,以确保安全和 IT 从业者提供必要的信息,帮助他们检测和抵抗环境中的异常问题,最终防止 Log4j利用攻击漏洞,使正常的业务运作不受干扰。
全球数百个数据中心使用 Akamai Guardicore Segmentation 实现进程级网络监控及相关措施。Akamai它可以观察网络中的所有网络连接,研究数据中心、云网络和跨越其安全边界的网络通信模式,总结Log4j漏洞给我们的数字生活带来了风险整体量级参考。
Log4j漏洞的爆发给我们敲响了网络安全的警钟,每个企业都应该为紧急情况准备一套应对策略。Akamai 针对Log4j漏洞的分析和研究,明确了事件的本质,明确了缓解措施,为网络安全人员抵御安全风险提供了重要的参考和参考。