17611538698
webmaster@21cto.com

Log4j漏洞可能需要数月甚至数年时间才能妥善解决

资讯 0 1302 2021-12-17 09:10:27

Log4j一直存在一些漏洞,但没有这次这么严重,波及的面这么广。

图片


据Cyber Kendra称, Log4Shell(代号称为CVE-2021-44228) 漏洞于 11 月 24 日由中国的阿里云安全团队首次报告给 Apache 。


安全公司 Randori 的专家表示,该漏洞可能会影响“数千个组织”,并“对受影响的系统构成重大的现实世界风险”,包括网络犯罪分子和民族国家行为者的关注。


专家们认为的普遍性以及容易被利用,这个 Log4j (Apache Log4j)中的远程代码执行漏洞是十年来最严重的一个,可能需要数月甚至数年时间才能得到妥善解决。


美国前白宫国土安全顾问、现任国家安全局网络安全主管 Rob Joyce就 Log4j在 Twitter 上表示:“这个漏洞是一个重大的漏洞利用威胁,因为它广泛包含在软件框架中,甚至NSA 的 GHIDRA [开源逆向工程工具]。这是一个案例研究,说明为什么软件物料清单 (SBOM) 概念对于理解与暴露如此重要。”


图片


McAfee Enterprise 和 FireEye 的高级威胁研究主管 Steve Povolny 表示称,Log4Shell 的破坏力完全和 Shellshock、Heartbleed 和 EternalBlue 同一个级别。

图片

Povolny 表示:“攻击者几乎立即开始利用该漏洞进行非法的加密货币挖掘,或利用互联网上的合法计算资源来产生加密货币以获取经济利益...... 进一步的利用似乎已经转向盗窃私人信息。可以预见,这种攻击即将会发生演变”。


图片


Povolny 补充说,该漏洞的影响可能是巨大的,因为它是“可蠕虫式的,可以建立自己的传播”。即使有了补丁,也有几十个版本的脆弱组件。由于已经观察到的攻击数量巨大,Povolny 说“可以假定许多组织已经被攻破”,并需要采取事件响应措施。


Povolny 说:“我们相信 log4shell 漏洞将持续数月甚至数年,随着补丁越来越多地推出,在未来几天和几周内将会大幅减少”。


自12月9日以来,Sophos 高级威胁研究员 Sean Gallagher 说,使用该漏洞的攻击从试图安装硬币矿工--包括Kinsing矿工僵尸网络正演变为更复杂的努力。


Gallagher 表示:“最近的情报显示,攻击者正试图利用该漏洞暴露亚马逊网络服务账户使用的密钥。还有迹象表明,攻击者试图利用该漏洞在受害者网络中安装远程访问工具,可能是Cobalt Strike,这是许多勒索软件攻击中的一个关键工具”。


Sophos 首席研究科学家 Paul Ducklin 则补充道,包括 IPS、WAF 和智能网络过滤在内的技术都“有助于控制这一全球漏洞”。 

HackerOne 的 CISO Chris Evans 表示,他们已收到 692 份关于 Log4j 的报告,涉及 249 个客户程序;并指出苹果、亚马逊、Twitter 和 Cloudflare 等大公司也都已确认他们的应用也存在着漏洞。
"这个漏洞的可怕之处在于:
首先,它真的很容易被利用;攻击者所要做的就是把一些特殊的文本粘贴到应用程序的各个部分,然后等待结果。
其次,很难知道什么是受影响的,什么是不受影响的;该漏洞位于与许多其他软件包捆绑在一起的核心库中,这也使修复变得更加复杂。
第三,你的许多第三方供应商很可能受到影响。"
Imperva 首席技术官 Kunal Anand 也透露,在推出了更新的安全规则之后的 13 个多小时内,该公司就已经观察到超过 140 万次针对 CVE-2021-44228 的攻击。 

“我们观察到峰值达到每小时大约 28 万次攻击。与同类其他 CVE 一样,我们预计这个数字会增长,尤其是在未来几天和几周内随着新变种的出现。”


Log4j的发展将会不断演变和持续,我们也会根据情况解释更多技术细节。

评论