自上周五有关暴露代码的初步报告使网络安全世界陷入混乱以来,私营部门和政府官员继续夜以继日地解决Apache Log4j漏洞.
本文提供了针对Apache Log4j漏洞的政府计划的最新情况, 最近的统计数据显示了攻击企图的严重程度以及威胁行为者利用该漏洞进行未来勒索软件攻击的可能性.
政府对Apache Log4j的响应
随着网络和IT专业人员继续无休止地与Apache Log4j漏洞作斗争, 政府官员也加入了这场战斗,他们开发资源,与行业专家和官员合作,解决这个被认为是有史以来最严重的安全漏洞之一.
网络安全和基础设施安全局(中钢协)局长珍·伊斯特利(Jen Easterly)就该漏洞举行了电话简报会, 强调其严重性和规模.
“我们预计这个漏洞会被老练的攻击者广泛利用,我们采取必要措施减少破坏可能性的时间有限,伊斯特利说。. “这个问题是一个未经身份验证的远程执行漏洞,可能允许入侵者接管受影响的设备.”
中钢协漏洞管理办公室的信息安全专家Jay Gazlay也表示欢迎 评论 他估计,现在有数亿台设备容易受到未经身份验证的远程执行的攻击, 这使得入侵者可以接管它们.
中钢协已经加入了世界各地的其他几家机构, 包括加拿大, 新西兰和联合王国(联合王国), 开发专门的网页,为组织提供可信赖的资源. 中钢协页面在 www.中钢协.gov / uscert / apache-log4j-vulnerability-guidance 并提供Log4j漏洞的实时更新,包括以下警告:
Apache 发布了Log4j版本2.15.安全更新中的0 要解决此漏洞. 然而, 以便在使用受影响的Log4j版本的产品和bet9平台游戏中修复漏洞, 这些产品和bet9平台游戏的维护人员必须实现此安全更新. 用户应向供应商咨询安全更新.
鉴于漏洞的严重性,以及复杂的网络威胁行为者越来越多地利用该漏洞的可能性, 中钢协敦促供应商和用户采取以下行动.
供应商
- 使用Log4j立即识别、缓解和修补受影响的产品
- 通知您的最终用户包含此漏洞的产品,并强烈敦促他们优先考虑软件更新
影响组织
- 除了立即的操作之外,要(1)枚举具有Log4j的面向外部的设备, (2)确保这些设备上的SOC动作警报, (3)安装带有自动更新-审查规则的WAF 中钢协即将推出的GitHub存储库 获取受影响的供应商信息列表,并在软件更新可用时尽快应用它们. 有关其他指导,请参阅下面使用Log4j运行产品的组织的操作. 注:中钢协已将CVE-2021-44228添加到 已知利用漏洞目录,这是根据 约束性操作指令(BOD) 22-01:降低已知漏洞被利用的重大风险. 符合BOD 22-01, 联邦民事行政机构必须在12月24日之前消除CVE-2021-44228漏洞, 2021
使用Log4j运行产品的组织的操作
中钢协建议受影响的实体:
- Apache的审查 Log4j安全漏洞页面 有关其他信息,并在适当的情况下应用所提供的解决方案:
- 在发布 >=2.10,这种行为可以通过设置system属性来减轻
log4j2.formatMsgNoLookups
或者环境变量LOG4J_FORMAT_MSG_NO_LOOKUPS
to真正的
. - 查阅从 2.7至2.14.1所有
PatternLayout
可以修改模式,将消息转换器指定为% m {nolookups}
而不是%m
. - 查阅从 2.0- 9到2.7, 唯一的缓解方法就是移除
JndiLookup
类路径中的类:-d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
.
- 在发布 >=2.10,这种行为可以通过设置system属性来减轻
- 立即使用可用的补丁. 看到 中钢协的GitHub存储库 查看已知受影响的产品和补丁信息.
- 优先考虑修补, 从关键任务系统开始, 面向internet的系统, 网络bet9平台游戏器. 然后优先修补其他受影响的信息技术和操作技术资产.
- 直到应用补丁,设置
log4j2.formatMsgNoLookups
to真正的
通过添加-Dlog4j2.formatMsgNoLookups = True
转到Java虚拟机命令以启动应用程序. 注意: 如果系统的日志记录依赖于消息格式的查找,这可能会影响系统的日志记录行为. 此外,此缓解仅适用于版本2.10岁及以上. - 如上所述, BOD 22-01 指示联邦民事机构在2021年12月24日之前缓解CVE-2021-44228,作为 已知利用漏洞目录.
- 进行安全审查 以确定是否存在安全问题或危害. 使用受影响的Log4j版本的任何bet9平台游戏的日志文件将包含用户控制的字符串.
此外,英国国家网络安全中心(NCSC)创建了一个 来自GitHub上的A-Z列表 在所有已知受影响的软件产品中,标记有如下所列的定义状态之一.
该名单可在 http://github.com/NCSC-NL/log4shell/tree/main/software.
Apache Log4j攻击更新
A 最近的报告 在过去的几天里,与log4j相关的攻击加速了, 在点, 研究人员每分钟目睹了100多次攻击. 同一份报告指出,中国政府支持的威胁行为者是一些最大的肇事者, 发射约840枚,自上周五以来,已有5000家公司遭到攻击.
那么攻击者的目标是什么呢? 像这样的大规模漏洞为威胁参与者提供了无尽的动机, 包括扫描系统安装恶意软件, 窃取用户凭证和加密劫持. 报告 同时确认几个僵尸网络, 包括Mirai, 海啸和海啸, 是否试图利用该漏洞.
另外, 微软表示,他们目睹了包括凭证盗窃在内的活动, 横向移动和数据泄露在一个岗位上 针对CVE-2021-44228 Log4j 2漏洞的预防、检测和搜索指南 博客.
从这些更新中得到的一个积极的注意是,没有证据表明存在活跃的供应链攻击(至少现在是这样)。.
不幸的是, 漏洞的无所不在意味着威胁行为者获得访问权限的窗口仍然是打开的. 许多组织仍然不确定该漏洞是否影响了他们, 而供应商们仍在争抢补丁.
数据泄露并不是什么新鲜事, 这个漏洞的规模和范围引起了许多网络安全专家的极度关注. 洛特姆·芬克尔斯坦检查站的威胁情报和研究主任 评论 这种情况的潜在长期影响.
“我不能夸大这种威胁的严重性. 从表面上看, 这是针对加密矿工的, 但我们认为,这只是制造了一种背景噪音,严重的威胁行为者会试图利用这种噪音来攻击银行等一系列高价值目标, 国家安全和关键基础设施.”
Apache Log4j和勒索软件
在Log4j漏洞成为头条新闻后不久,发生了两次主要的勒索软件攻击 全球人力资源软件提供商Kronos 和 弗吉尼亚州议会. 截至本文撰写之时, 这只是一个巧合, 没有事件报告与Log4j漏洞的连接. 然而, 这并不意味着威胁行为者没有制定利用这个漏洞进行勒索软件攻击的策略.
一家大型网络安全公司 所述 他们看到了攻击者利用Log4Shell为勒索软件攻击奠定基础的迹象. 微软的威胁情报团队还报告说,他们发现Log4Shell被用来安装流行的网络犯罪工具Cobalt Strike, 哪一个被认为是部署勒索软件的前兆.
尽管猜测和记录的活动, 然而,在撰写本文时,还没有勒索软件组织扣动扳机, 我们的团队将继续监控潜在的勒索软件威胁的发展.
Apache Log4j政府资源
- 加拿大网络安全中心主动利用Apache Log4j漏洞中心
- 中钢协 Apache Log4j漏洞指南
- 新西兰Log4j RCE 0-Day积极利用的建议
- NCSC Apache Log4j 2漏洞警告
本文是Apache Log4j漏洞系列的延续。 可以在 /我们认为/类别/网络安全. 我们鼓励您与您的网络分享我们的文章,并与任何问题联系 cybersecurity@lunchpenny.com.
Apache Log4j 中钢协资源
Apache Log4j Web资源
相关文章
关于施耐德唐斯网络安全
施耐德唐斯网络安全实践由提供全面信息技术安全bet9平台游戏的专家组成, 包括渗透测试, 入侵防御/检测审查, ransomware安全, 脆弱性评估和一个健壮的数字取证和事件响应团队. 欲了解更多信息,请访问www.schneiderdowns.请访问网络安全或与团队联系 cybersecurity@lunchpenny.com.
此外,我们的 数字取证和事件响应 如果您怀疑或正在经历任何类型的网络事件,团队可以拨打1-800-993-8937,24x7x365.
想要了解情况? 订阅我们的双周通讯, 关注网络安全, at oen.lunchpenny.com/subscribe.