在网络威胁情报领域,没有什么比周五下午出现严重的远程代码执行(远端控制设备)零日下降更糟糕的了. 根据这个消息, 以下是美高梅集团app下载对此事的了解:2021年12月10日, 报告开始出现在流行的Log4j Java库中发现的一个新的零日漏洞. 许多云服务广泛使用Log4j Java库, 像苹果, 蒸汽, 以及流行视频游戏《美高梅集团app下载》等应用程序. 该漏洞被跟踪为CVE-2021-44228,并被命名为“Log4Shell”. 这种脆弱性被认为是至关重要的,因为它很容易被利用,并可能造成重大影响.
坏消息.
在撰写本文时, 人们相信任何使用Apache Struts的系统, Solr, 德鲁伊很容易受到攻击. 利用该漏洞可能会导致未经验证的攻击, 远程代码执行(远端控制设备), 允许完全控制受影响系统的受影响服务器. 因为Log4j包无处不在, 威胁行动者可能的攻击范围是深远的. 已经有报道称一些组织在野外看到了攻击, 未来几天或几周可能还会有更多.
但是,也有好消息.
Log4j软件的最新版本,2.15、减轻脆弱性. 详情请参阅 在这里. 美高梅集团app下载建议尽快升级到最新版本, 而且很多地方的维修计划因为假期而放缓, 把更新放在首位. 如果补丁不能及时完成, Apache团队建议设置系统属性“log4j2”.formatmsgnolookup " to " true "或者将JndiLookup类从类路径中移除.10,但在2之前.15,这应该会减轻脆弱性.
根据 伪, 可能还有其他的依赖项, 例如更新Java版本或其他服务, 这可能会使升级稍微复杂一些. R和ori的 攻击队 提供了一个Github工具的链接,可以检查易受攻击的版本, 详见他们的发现. 免责声明:虽然美高梅集团app下载不能直接保证此工具的有效性, 最好有信息在手,以便在战斗中有所帮助.
在撰写本文时(周五下午),美高梅集团app下载已经看到了来自 F5 和 Cloudflare stating that their WAF signatures have been updated to include detections for JNDI injection attempts; however, 研究正在进行中,以发现他们的应用程序的任何进一步的漏洞. Cloudflare了 额外的步骤 扩大WAF覆盖范围 所有 客户,包括那些不使用WAFs的客户. 来自r/netsec社区的reddit用户“粘贴”了一条评论 这个线程在接下来的几天里,它可能会继续更新. 其中最值得注意的是Github上发布的一些检测规则, 包括雅苒, 以及来自“新兴威胁”的通知, 谁更新了他们的 Snort和Suricata 规则. 最后,Splunk还发布了新的探测结果,详细内容在他们最新的博客中 在这里.
现在的情况
在披露该漏洞后不久,概念证明(PoC)代码发布于 GitHub据称,它可能被用来瞄准零日. 据报道,在PoC可用后,威胁行动者立即开始积极扫描互联网上的脆弱系统, 新西兰计算机应急响应小组(CERT NZ)在同一天警告称,该漏洞正在被“积极利用”. 网络安全与基础设施安全局(CISA)也发布了新闻稿, 重申了Apache软件用户在降低CVE-2021-4428威胁方面的重要性.
不出所料,这个漏洞的消息很快开始在网络犯罪社区中传播. 一位论坛用户将该漏洞比作“导致Equifax 2017数据泄露的漏洞”(另一个Apache Struts漏洞),另一位用户将其比作“永恒之蓝”。, 单独的远端控制设备漏洞. 另一名用户声称,该漏洞在“80%的实际服务器上都有效”.”
其他用户开始报告说,这些POCs被匆忙地从Github上移除, 作为回应,他们创建了POC的复制品,与其他论坛成员分享. 一般, 论坛用户认为,随着防御者的追赶,该漏洞在短期内可能会被“大规模利用”.
下一步要做什么
It will be a long weekend for many of us; make sure to take breaks to rest 和 recover. 你需要头脑清醒才能进行下一步工作.
以下是美高梅集团app下载认为你应该优先考虑的事情:
- 评估日志以确定攻击者是否可以在您的基础设施上执行任意代码. 使用与这些活动或“jndi:ldap”相关的IOC。.
- Assess which variables or fields within your application may be parsed by Log4J; if these variables are able to be modified by an attacker then exploitation may be possible. 这里有很大的创造性思考的空间——如果在Minecraft聊天的消息可以导致服务器的妥协, 那就没有限制了.
- 联系那些能接触到敏感信息或提供关键任务服务的关键供应商. 询问他们是否受到Log4j漏洞的影响以及他们的补救计划. 你猜怎么着? 他们可能会说他们仍在调查中,这是真的,所以一定要跟踪他们.
- 确保您在通过事件响应活动的过程中吸取了经验教训. 日志设置正确吗? 你有权限查看那些日志吗? 您是否有帮助您快速了解脆弱资产的范围和影响的软件材料清单?
- 最后, 如果你已经是美高梅集团app下载客户端, 美高梅集团app下载为此发布了公共情报警报, 包括相关的, 关于此事件的最新活动和最新更新的最新信息. 此外,美高梅集团app下载创建了一些影子搜索查询,你可以在下面使用.
影子搜索建议
指标查询:
type=[indicator feeds] AND (" log4j " OR " CVE-2021-44228 " OR " Log4Shell ")
通过威胁英特尔提供的漏洞信息:
(" log4j " OR " CVE-2021-44228 " OR " Log4Shell ") type=[blog posts] OR type=[intelligence incidents] date=[now-7d TO now]
通过web资源获取的漏洞信息:
(" log4j "或" CVE-2021-44228 "或" Log4Shell ") type=[web source] date=[now-7d TO now]
查询论坛、聊天和市场上的讨论:
(" CVE-2021-44228 " OR " Log4j " OR " Log4Shell ")
查询漏洞信息:
(" CVE-2021-44228 "或" Log4j "或" Log4Shell ") AND (type=[漏洞 & 利用)