一个新的远程代码利用(RCE)漏洞(CVE-2021-44228 / CVSS得分10).被称为LogJam/Log4Shell的软件于12月10日星期五登陆互联网th这让安全人员非常担心,而且有充分的理由.
易受攻击的代码是Apache日志框架的一部分, 哪个是开发人员用于日志记录目的的开源框架. The source of the vulnerability, Log4j, 框架内是否有Java库并用于收集活动. Recent reports 表明该漏洞可能早在12月1日就开始了st但在漏洞被公开之前,并没有大规模利用的证据.
该漏洞首先通过微软的Minecraft(基于java的客户端版本)而臭名昭著,其中个人能够通过游戏内聊天功能运行恶意命令. Since then, 这个漏洞已经蔓延到互联网的各个角落, including Steam, iCloud和各种基于硬件和软件的应用程序.
由于此漏洞允许RCE,因此应尽快应用补丁. 如果设备包含Log4j库,威胁参与者可以通过简单地向设备发送java代码来利用此漏洞. 通过制作命令,以便系统在Log4j库记录恶意代码时执行它们, 他们可能获得对这些设备的未经授权的远程控制.
因为这个java库通常用于日志记录目的, 任何使用该库的应用程序(版本2).0 to 2.14.1) is vulnerable to the RCE. 如果日志bet9平台游戏是面向外部的,这只会使问题更加复杂. 该漏洞已在最新版本(2)中修复.15),然而,对于最终用户来说,这并不像最初看起来那样容易解决.
由于漏洞源于软件内置于硬件和基于应用程序的软件中, 终端用户IT部门只有在拥有并管理设备/软件的源代码时才能更新库. 如果IT部门不管理它, 他们必须等待供应商发布补丁或停止使用设备/软件.
对于大多数组织来说,公司必须首先:
- 确保他们了解所有正在使用的软件(硬件和基于应用程序的软件)
- 分析这些软件片段,找出潜在的易受攻击的Log4j库
- 监视供应商发布的补丁以获取更新补丁(如果软件易受攻击)
- Upon release of the update, 按照组织的紧急补丁程序应用紧急补丁程序.
一个安全研究人员(SwitHak)创建了一个GitHub存储库,其中包含与Log4J相关的所有主要公司公告的链接. Using this repository, IT团队可以快速搜索列出的供应商,查找与Log4j相关的供应商披露, 确定软件是否易受攻击,如果有的话, if a patch has been released. The repository is available at http://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592.
网络安全和基础设施安全局(CISA)局长珍·伊斯特利 released the following statement 关于这个漏洞的消息.
“CISA正在与我们的公共和私营部门合作伙伴密切合作,积极解决影响包含Log4j软件库的产品的关键漏洞. This vulnerability, 这是被越来越多的威胁分子广泛利用的, 由于其广泛的应用,对网络防御者提出了迫切的挑战. 最终用户将依赖于他们的供应商, 供应商社区必须立即识别, mitigate, 并使用该软件为各种产品打补丁. 供应商还应该与他们的客户沟通,以确保最终用户知道他们的产品包含此漏洞,并应优先考虑软件更新.”
中钢协建议资产所有者尽快采取以下三个步骤:
- 列举安装了Log4j的所有外部设备.
- 确保您的安全运营中心对上述类别设备上的每一个警报都采取行动.
- 安装带有自动更新规则的web应用程序防火墙(WAF),以便您的SOC能够专注于更少的警报.
施耐德唐斯网络安全团队建议启动此存储库,以检查您的软件是否存在漏洞并采取相应行动.
如果您的组织中有未链接到此存储库中的其他软件, 我们建议与供应商进行检查或分析软件,以确定它是否存在潜在的漏洞, 而首先关注的是面向外部的软件或硬件, 然后在环境中向内移动.
Fortunately, 通过在Log4j的日志文件中查找特定的字符串,可以很容易地检测折衷指标. 快速检查将是搜索URL字段中包含“${jndi”的任何用户代理,并且HTTP状态码为200. For further detection, you can use 这些命令和规则适合您的需要.
本文是Apache Log4j漏洞系列的延续。 available at /我们认为/类别/网络安全. 我们鼓励您与您的网络分享我们的文章,并与任何问题联系 cybersecurity@tfb1.com.
Apache Log4j CISA Resources
Apache Log4j Web Resources
- Apache - Log4j安全漏洞中心
- GitHub - BlueTeam CheatSheet * Log4Shell*
- Github – Log4j RCE Exploitation Detection
Related Articles
About Schneider Downs Cybersecurity
施耐德唐斯网络安全实践由提供全面信息技术安全bet9平台游戏的专家组成, including penetration testing, intrusion prevention/detection review, ransomware security, 脆弱性评估和一个健壮的数字取证和事件响应团队. For more information, visit www.schneiderdowns.请访问网络安全或与团队联系 cybersecurity@tfb1.com.
In addition, our Digital Forensics and Incident Response 如果您怀疑或正在经历任何类型的网络事件,团队可以拨打1-800-993-8937,24x7x365.
Want to be in the know? Subscribe to our bi-weekly newsletter, Focus on Cybersecurity, at gda.tfb1.com/subscribe.