ACM通信
未来几年安全挑战的来源
Log4Shell对于网络犯罪分子来说很容易被滥用,对于组织来说也很难减轻。
来源:Perforce.com
“Log4Shell可能是有记录的同类软件漏洞中最危险的,”说Sandeep Lahane云安全公司首席执行官Deepfence.
2021年11月24日,阿里巴巴云安全团队的陈昭军发现了这个关键的软件漏洞Log4Shell在开源Java日志记录工具,Log4J.Log4J是作为组件来的Java存档(JAR)文件软件开发人员无需编写额外的代码就可以轻松地将其插入到软件项目中。安全社区也知道Log4Shell的常见漏洞和暴露(CVE)身份证号码,CVE 2021 - 44228.的Apache软件基金会,为Log4Shell漏洞提供了一个临界严重等级为10这是它的最高评级。
Log4Shell很严重,部分原因是Log4J实用程序很常见,出现在许多软件中。Java毫无疑问是过去10-15年开发的企业软件应用程序中最常见的语言。日志记录是一个核心的应用程序需求,而Log4J是日志记录的标准选择,”Lahane解释道。
Log4Shell对网络罪犯来说是微不足道的,因为它无处不在。通过将Log4Shell与其他漏洞进行比较,可以正确地看待它。“Log4Shell比OpenSSL Heartbleed,而脆弱组件的分布要广泛得多Apache Struts——过去十年的另外两个高度危险的漏洞,”拉汉说。
为了定位和利用Log4Shell,攻击者扫描网络寻找易受攻击的log4j组件。一旦他们找到了漏洞,就会发送恶意的命令字符串到服务器使用任何协议(TCP, HTTP,或其他),允许他们这样做。
虚假的Log4J查找命令在导致Log4J连接到的恶意命令字符串中恶意服务器来执行远程恶意Java代码.来自Log4Shell攻击的潜在损害是严重的;远程代码执行像这样的攻击使攻击者能够触发恶意软件如网上蠕虫.
“记住这一点很重要威胁的演员可以使用相同的开源的扫描仪检测到的漏洞安全分析人士使用。许多远程扫描器目前可在开源网站,如GitHub一家内容营销公司的首席执行官凯伦·沃尔什说快速的解决方案.
Log4Shell对组织来说也很难缓解。企业可能不知道其软件是否使用Log4J。如果软件有依赖在一个脆弱的Log4J组件上,这是一种更直接的关系,并不是很难找到它。
然而,如果软件有过渡依赖在Log4J上,这意味着该软件依赖于其他具有依赖关系的软件,然后在某个地方,该软件依赖于Log4J。寻找漏洞非常困难,因为一个组织对Log4Shell的暴露可能隐藏在其他软件的深处。
网络犯罪分子利用Log4Shell立即加大了攻击力度。根据一项检查站的博客截至2021年12月20日,Check Point网络安全公司发现了430万次利用该漏洞的尝试;犯罪黑客利用Log4Shell漏洞攻击了全球48%的企业网络。
与此同时,来自多个行业的数百家组织发布了他们的软件依赖于易受攻击的Log4J组件的建议。IBM、微软、苹果、亚马逊、思科、谷歌、Oracle、RedHat和VMware都是受到影响的科技公司。网络安全公司包括CyberArk, ForgeRock, Okta, Ping Identity, Fortinet, SonicWall,Sophos也承认了自己的风险敞口。
虽然有许多攻击,如cryptojacking而且ransomware使用Log4Shell,更危险的东西正等着显示自己。“最老练的攻击者使用首字母利用比如Log4Shell在目标业务中获得立脚点,然后就沉默了。复杂的攻击通常进行得缓慢而有预谋,通常持续数月。
APT (Advance Persistent Threat)组利用Log4Shell等漏洞发起隐秘、复杂的攻击企业网络.他们实现长停顿时间在一个组织里不被发现。网络犯罪分子利用未经授权的信任控制管理账户在网络中横向移动。
横向运动使网络暴徒能够找到并控制额外的特权帐户并获取宝贵的数据,比如用户数据库而且知识产权.
就攻击的复杂性而言,Log4Shell可以与Wannacry Ransomware2017股。Wannacry虽然具有破坏性,但影响仅限于此Windows操作系统。Log4J更难解决,因为使用它的是关键任务系统,”it运营云公司的产品副总裁Paul Zimski说Automox.
至于后果,组织可以预期Log4Shell的影响将持续一段时间。对Log4Shell漏洞的响应给本已不堪重负的IT和安全团队带来了巨大压力。Log4J在操作的复杂性对于IT团队来说,这会使他们的效率比以前低,最终使他们的组织在短期和长期内都不安全,”Zimski说。
Log4Shell还有更多的风险。“最长期的风险是数十亿的设备和设备使用Java核心软件”,Lahane说。“这些设备是最难定位和修复的,而且许多这样的设备都没有支持,所以供应商没有动力提供修复,用户也没有意识到他们是容易受到攻击的。”
据拉汉说,这些攻击包括cryptojacking(黑客利用受害者的计算能力生成加密货币)使用电视和消费设备,以及指挥与控制)编制跨路由器,负载平衡器,网络硬件.
大卫·吉尔是一名专注于网络安全相关问题的记者。他从美国俄亥俄州克利夫兰写信。
没有发现记录