关于Log4j漏洞:持续后果影响的警告和防御措施有效性的警告
Logo4j漏洞目前看怎么形容其严重性都不为过,预计其影响的严重性、长期性与当年的wannacry不相上下。当地时间13日,美国网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency)局长珍·伊斯特利(Jen Easterly)在当天的电话简报中告诉行业领袖,log4j(或称为log4shell)漏洞将成为她职业生涯中遇到的最严重的漏洞,至少是之一。与此同时,在众多安全厂商给出的防范措施中,也出现了不同的反应。在国外首报该漏洞分析的安全厂商Lunasec在其最新的博文中指出了关于有些防御措施有效性的质疑,甚至是批评。
伊斯特利在谈到Apache Log4j漏洞时说:“我们预计这个漏洞会被经验丰富的威胁行为者广泛利用,我们只有有限的时间来采取必要的措施,以减少破坏的可能性。”关键问题,这是一个未经身份验证的远程执行漏洞,它可能允许入侵者接管受影响的设备。
CISA漏洞管理办公室的Jay Gazlay在与关键基础设施所有者和运营商的通话中表示,数亿台设备可能会受到影响。
CISA负责网络安全的执行助理主任埃里克·戈尔茨坦(Eric Goldstein)说,该机构最快将于当地时间14日建立一个专门的网站,提供信息并打击“活跃的虚假信息”。他说,该漏洞“允许远程攻击者轻松控制并利用存在该漏洞的系统”。
此次行业简报是世界各地政府官员发出的最新警告。刚刚这个周末,CISA与奥地利、加拿大、新西兰和英国等国网络安全机构一道发出了警告
Goldstein说,CISA预计各种攻击者都将利用这个漏洞,从加密者到勒索软件组织等等。他说,“目前”没有证据表明供应链受到了积极的攻击。
在谈到此次漏洞应用的艰巨性时,Gazlay说,组织需要“持续的努力”才能变得安全,即使在应用了Apache的补丁后,也需要勤奋。Gazlay说:“没有一个单一的行动可以解决这个问题。”认为任何人“将在一两个星期内完成”是错误的。
伊斯特利局长的建议是,确保各机构在假期期间都有自己的安全团队,采取“所有必要措施消除容易被利用的弱点”,并与CISA分享比平时更多的信息。
而在网络安全从业者中,相关防御措施的有效性讨论不断深入,Lunasec的最新博文中列出几点,称为”已知的坏建议”。
文章中称,“以下是我们在网上看到的所有被误导和危险的建议。如果您在网上看到包含以下任何内容的建议,我们请您与作者分享这篇文章,以帮助限制Log4Shell的影响。”
1、WAF不会将您从Log4Shell中拯救出来
Log4Shell漏洞无法通过使用 WAF(Web 应用程序防火墙)来缓解,因为它不要求您可以公开访问它。内部数据管道(如 Hadoop和Spark)以及桌面应用程序(如NSA的 Ghidra)都受此影响。
此外,没有简单的方法可以通过简单的WAF规则“过滤”恶意请求,因为 Log4Shell负载可能是嵌套的。
如果您使用的是易受攻击的log4j版本,则缓解Log4Shell的唯一安全方法是通过本文下面详述的策略之一。
2、仅仅更新Java并不足以(可能)长期有效
网上有很多报告说只有某些Java版本会受到影响,并且如果您使用较新的Java版本,则您是安全的。
我们认为,在运行易受攻击的log4j版本时,所有Java 版本(甚至当前的Java 11版本)都会受到影响,这只是时间问题。仅仅升级你的Java 版本是不够的,你不应该依赖它来长期防御漏洞利用。
(技术解释:我们收到的报告指出,仍然可以在服务器上实例化本地类,而不是当前漏洞利用的远程类。请参阅我们关于此的最后一篇文章。)
3、简单地更新您的日志语句是危险的
一些在线人建议将您的日志记录语句从%m更新为%m{nolookupzz} 以缓解这种情况**。
这是一个糟糕的建议,我们不建议您遵循它。即使您今天设法100%修补您的应用程序,您将来仍有可能不小心再次添加%m,然后您将再次受到攻击。
此外,可能会在您的日志记录语句中遗漏一行,或者如果有一个依赖项使用带有%m的log4j而您没有重新确认。如果发生任何一种情况,您仍然会很脆弱。
我们强烈支持软件的“默认安全”心态,我们建议您改用其他缓解措施之一。
注:**:这里的 zz 是故意错误的,以防止盲目复制粘贴。原文作者的标注。
另外,还有安全研究者指出了NVD和MITRE在描述该漏洞时的错误,即使你运行最新的JRE,也不能抵御log4shell漏洞的利用攻击。如下图。
参考资源:
1、https://www.cyberscoop.com/log4j-cisa-easterly-most-serious/
2、https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/
3、https://nitter.nixnet.services/wdormann/status/1470505967196545025#m
来源:网空闲话
