近日，Apache Log4j 漏洞再次曝光3個高危漏洞，評級均在高危以上。

自2021年12月7日公開，Apache Log4j 漏洞被認(rèn)為是“2021年最重要的安全威脅之一”，稱它為“核彈級”漏洞真的不是夸張。該漏洞被披露已有1個多月時間，我們一起來回顧下，這場“核爆炸”究竟帶來了哪些連鎖反應(yīng)？

被披露僅1個多月時間，以CVE-2021-44228漏洞為起始點，Apache Log4j 總計爆發(fā)8個漏洞，其中包括5個遠(yuǎn)程代碼執(zhí)行漏洞、1個SQL注入漏洞、2個拒絕服務(wù)漏洞，高危以上漏洞占據(jù)了7個。

Apache Log4j 漏洞信息表

該漏洞還被廣泛應(yīng)用于勒索、挖礦、僵尸網(wǎng)絡(luò)上，黑產(chǎn)組織利用漏洞發(fā)起多個攻擊事件。深信服對此梳理了完整的事件演進(jìn)時間線：

重點關(guān)注：關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)

值得關(guān)注的是，在Apache Log4j2遠(yuǎn)程執(zhí)行代碼漏洞被披露僅11天后，已有攻擊者利用此漏洞成功攻擊比利時國防部計算機(jī)網(wǎng)絡(luò)。發(fā)言人證實其部分計算機(jī)網(wǎng)絡(luò)處于癱瘓狀態(tài)，如郵件系統(tǒng)已經(jīng)停機(jī)數(shù)日。

據(jù)媒體報道稱，比利時國防部是第一個報告該漏洞的政府受害者，但鑒于Apache Log4j 漏洞在公共和私營部門流行的軟件中無處不在，它不可能是最后一個。

與此同時，已有勒索團(tuán)伙將Log4j2漏洞武器化，并擁有完整的攻擊鏈，嚴(yán)重威脅各國關(guān)基單位的安全與利益。保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，強(qiáng)化應(yīng)急響應(yīng)能力，這是Apache Log4j 漏洞攻擊事件給我們帶來的啟示。

為什么關(guān)鍵信息基礎(chǔ)設(shè)施極易成為攻擊者利用Log4j 漏洞進(jìn)行攻擊的目標(biāo)？

我們知道，Log4j 漏洞不僅存在于組織面向Internet的資產(chǎn)中，還存在于內(nèi)部系統(tǒng)、第三方應(yīng)用程序、SaaS和云服務(wù)等環(huán)境中。對于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營單位來說，面對龐雜的資產(chǎn)情況，難以厘清哪些資產(chǎn)完全暴露在威脅之下。

其次，關(guān)鍵信息基礎(chǔ)設(shè)施所使用軟件可能包含Log4j 漏洞的受信任的第三方 API，或可能包含特定組件的所有依賴項（包括 Log4j 庫）中。由于組織缺乏API行為的可見性及漏洞埋藏較深，識別受影響的應(yīng)用程序變得異常困難。

關(guān)鍵信息基礎(chǔ)設(shè)施所使用的軟件可能由第三方供應(yīng)商提供，但針對Log4j 漏洞，未必所有的供應(yīng)商都有可用的補(bǔ)丁，因此當(dāng)前看似“風(fēng)平浪靜”，實則暗藏安全風(fēng)險。

解決方案：長效治理防護(hù)，筑就安全防線

當(dāng)前，Log4j1.x已經(jīng)停止維護(hù)，解決1.x版本漏洞，需要升級到Log4j2的新版本。未來，攻擊者還會如何利用Apache Log4j2 組件漏洞對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行攻擊不得而知。但可以確信的是，該漏洞在短時間難以全面排查，且一旦威脅快速升級，難以及時規(guī)避。

如果只是采用單次的風(fēng)險排查和應(yīng)急處置，將無法持續(xù)有效控制，風(fēng)險治理異常困難。組織應(yīng)基于威脅情報持續(xù)監(jiān)測、快速響應(yīng)，建立長效治理機(jī)制，及時規(guī)避風(fēng)險。

針對該漏洞及后續(xù)進(jìn)化版本，深信服基于深度研究、持續(xù)跟進(jìn)，不斷更新產(chǎn)品內(nèi)置規(guī)則、云端威脅情報，并根據(jù)用戶實際情況提供Apache Log4j2組件漏洞長效治理解決方案，從風(fēng)險排查、安全加固、長效治理三個階段，形成整體全面的建設(shè)思路，幫助用戶徹底解決該漏洞帶來的安全隱患。

深信服Apache Log4j2 組件漏洞長效治理解決方案建設(shè)思路

1.專業(yè)檢測工具匹配不同需求，快速排查安全隱患

是否存在漏洞相關(guān)組件：通過深信服云鏡配合0Day插件包，快速發(fā)現(xiàn)安全風(fēng)險；

是否存在利用漏洞的攻擊行為：通過深信服終端檢測響應(yīng)平臺 EDR 的威脅狩獵模塊，對漏洞利用、惡意軟件執(zhí)行繞過、持久化等操作進(jìn)行檢測。

2.專項檢測防護(hù)，見招拆招，針對性有效加固

發(fā)現(xiàn)內(nèi)部存在 Apache Log4j2 組件：深信服安全服務(wù)人員可協(xié)助用戶更新升級相關(guān)組件到最新版本；

發(fā)現(xiàn)繞過官方補(bǔ)丁的攻擊行為：通過深信服下一代防火墻 AF最新的漏洞攻擊特征識別庫，有效識別漏洞并實時更新。

3.7*24小時持續(xù)監(jiān)測，全球威脅5分鐘同步，建立長效防護(hù)機(jī)制

從事件演變過程來看，攻擊者不斷升級其攻擊技術(shù)，修復(fù)補(bǔ)丁、安全策略等相關(guān)措施都存在被繞過的可能：通過深信服安全運(yùn)營團(tuán)隊 7*24 小時持續(xù)監(jiān)測漏洞攻擊行為，配合云端威脅情報，全球威脅5分鐘同步，通過“本地 + 云端”的方式第一時間規(guī)避該漏洞帶來的安全隱患。

雷峰網(wǎng)(公眾號：雷峰網(wǎng))

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。