——

　　Log4j漏洞

　　這個(gè)Log4j漏洞（亦稱“Log4Shell”）在12月10日被命名為CVE-2021-44228。Log4j是一種流行的開源Java日志庫，以直接或間接的方式被互聯(lián)網(wǎng)上三分之一的服務(wù)器廣泛使用。目前已知，該漏洞會(huì)影響到海量用戶的網(wǎng)絡(luò)巨頭，常用服務(wù)器及服務(wù)，包括Apache Web服務(wù)器、Apple iCloud、Twitter、Amazon、Microsoft、IBM、Oracle、Cisco、Google、Cloudflare、Minecraft游戲服務(wù)器，以及多種其它的服務(wù)及內(nèi)容服務(wù)商。

　　該漏洞的CVSS得分為10.0，即最高得分，因?yàn)檫@種漏洞易于被利用，并且會(huì)對(duì)許多服務(wù)器產(chǎn)生嚴(yán)重的影響。攻擊者只需發(fā)送一個(gè)惡意日志字符串即可被Log4j 2.0版或更高版本最終錄入日志中。這種利用方式使攻擊者可以向服務(wù)器加載任意Java代碼，讓攻擊者得以控制和利用被攻陷的系統(tǒng)。這種行為通常被稱為遠(yuǎn)程命令/代碼執(zhí)行（RCE）。Log4j 2.0于2014年7月發(fā)布，且下載次數(shù)已超過40萬次，有多少軟件應(yīng)用正在使用log4j庫便可想而知。

　　為了應(yīng)對(duì)CVE-2021-44228的危機(jī)，Log4j開發(fā)者已經(jīng)發(fā)布了2.15版。但對(duì)CVE-2021-44228修復(fù)也帶來了12月14日的CVE-2021-45046和12月18日的CVE-2021-45105所收錄的兩項(xiàng)全新問題。這些CVE已在2.16.0版中得到的暫時(shí)修復(fù)，并在2.17.0獲得進(jìn)一步的修復(fù)，而其它的更新也可望在不久后發(fā)布。

　　許多攻擊者都在與時(shí)間賽跑，想要充分利用這一強(qiáng)大的武器。他們已經(jīng)開發(fā)了多種可掃瞄互聯(lián)網(wǎng)和利用漏洞入侵的自動(dòng)化工具。此外，黑客還為其APT工具集添加了新的能力。

　　另一方面，應(yīng)用開發(fā)者正在爭分奪秒將自己的解決方案升級(jí)至最新版的Log4j。然而，對(duì)代碼施加更新和補(bǔ)丁而且需要一定的時(shí)間才能完成，更何況有些系統(tǒng)缺乏維護(hù)不再更新和打補(bǔ)丁。在這些實(shí)例中，要想預(yù)防和阻止攻擊突入自己的網(wǎng)絡(luò)，IT部門需要部署NGFW、IPS或WAF等安全控件來保護(hù)有高危漏洞的服務(wù)器。

　　為了幫助用戶應(yīng)對(duì)最新的頂級(jí)漏洞，思博倫CyberFlood已經(jīng)發(fā)布CVE-2021-44228和CVE-2021-45046攻擊樣例到最新的TestCoud更新里面。用戶可以自動(dòng)同步TestCloud來拿到樣本。CVE-2021-45105也將在不久后正式發(fā)布。

　　為了在這一系列前所未有的危機(jī)中幫助我們的客戶和各類機(jī)構(gòu)，思博倫將提供一個(gè)為期30天的試用期，這樣我們便可對(duì)您的安全控件開展快速驗(yàn)證，確保此類控件是否配置正確，以及是否能夠正常發(fā)揮作用，讓您能夠心安理得地享受自己的假期時(shí)光。

　　如圖顯示的便是Log4j攻擊CVE-2021-44228中主機(jī)間的CyberFlood網(wǎng)絡(luò)威脅評(píng)估（CTA）調(diào)用流示例

　　您的首席信息官和IT部門可以針對(duì)自己的NGFW或WAF運(yùn)行這些攻擊，驗(yàn)證安全基礎(chǔ)設(shè)施是否已經(jīng)更新至能夠防范Log4j威脅的狀態(tài)。

　　Log4j漏洞影響到了互聯(lián)網(wǎng)上三分之一的服務(wù)器。出于多種原因，并非所有的企業(yè)都能在短時(shí)間內(nèi)將自己的系統(tǒng)升級(jí)至已修復(fù)該問題的最新版本。

　　思博倫可以幫助各類機(jī)構(gòu)驗(yàn)證的物理設(shè)施或公有云上的虛擬安全控件/設(shè)備。所有現(xiàn)有的思博倫客戶都可以通過Test Cloud獲取這些最新的CVE。

　　今天就聯(lián)系我們吧！我們的安全專家和您探討應(yīng)對(duì)這個(gè)最新頂級(jí)漏洞之道。

　　任紅波

　　思博倫業(yè)務(wù)拓展經(jīng)理

　　負(fù)責(zé)東亞地區(qū)云和安全業(yè)務(wù)拓展。他在網(wǎng)絡(luò)安全、云計(jì)算、應(yīng)用程序和電信技術(shù)方面擁有超過20年的經(jīng)驗(yàn)，并為網(wǎng)絡(luò)設(shè)備制造商、企業(yè)和服務(wù)提供商提供尖端的應(yīng)用程序和安全測(cè)試解決方案。