最新的网络安全新闻与俄罗斯入侵乌克兰有关
网络犯罪和暗网研究 / Log4j零日:美高梅集团app下载目前所知道的

Log4j零日:美高梅集团app下载目前所知道的

Log4j零日:美高梅集团app下载目前所知道的
光子研究小组
更多信息请访问光子研究团队
2021年12月10日, | 6 分钟阅读

在网络威胁情报领域,没有什么比周五下午出现严重的远程代码执行(远端控制设备)零日下降更糟糕的了. 根据这个消息, 以下是美高梅集团app下载对此事的了解:2021年12月10日, 报告开始出现在流行的Log4j Java库中发现的一个新的零日漏洞. 许多云服务广泛使用Log4j Java库, 像苹果, 蒸汽, 以及流行视频游戏《美高梅集团app下载》等应用程序. 该漏洞被跟踪为CVE-2021-44228,并被命名为“Log4Shell”. 这种脆弱性被认为是至关重要的,因为它很容易被利用,并可能造成重大影响.

坏消息.

在撰写本文时, 人们相信任何使用Apache Struts的系统, Solr, 德鲁伊很容易受到攻击. 利用该漏洞可能会导致未经验证的攻击, 远程代码执行(远端控制设备), 允许完全控制受影响系统的受影响服务器. 因为Log4j包无处不在, 威胁行动者可能的攻击范围是深远的. 已经有报道称一些组织在野外看到了攻击, 未来几天或几周可能还会有更多.  

但是,也有好消息.

Log4j软件的最新版本,2.15、减轻脆弱性. 详情请参阅 在这里. 美高梅集团app下载建议尽快升级到最新版本, 而且很多地方的维修计划因为假期而放缓, 把更新放在首位. 如果补丁不能及时完成, Apache团队建议设置系统属性“log4j2”.formatmsgnolookup " to " true "或者将JndiLookup类从类路径中移除.10,但在2之前.15,这应该会减轻脆弱性. 

根据 , 可能还有其他的依赖项, 例如更新Java版本或其他服务, 这可能会使升级稍微复杂一些. R和ori的 攻击队 提供了一个Github工具的链接,可以检查易受攻击的版本, 详见他们的发现. 免责声明:虽然美高梅集团app下载不能直接保证此工具的有效性, 最好有信息在手,以便在战斗中有所帮助.

在撰写本文时(周五下午),美高梅集团app下载已经看到了来自 F5Cloudflare stating that their WAF signatures have been updated to include detections for JNDI injection attempts; however, 研究正在进行中,以发现他们的应用程序的任何进一步的漏洞. Cloudflare了 额外的步骤 扩大WAF覆盖范围 所有 客户,包括那些不使用WAFs的客户. 来自r/netsec社区的reddit用户“粘贴”了一条评论 这个线程在接下来的几天里,它可能会继续更新. 其中最值得注意的是Github上发布的一些检测规则, 包括雅苒, 以及来自“新兴威胁”的通知, 谁更新了他们的 Snort和Suricata 规则. 最后,Splunk还发布了新的探测结果,详细内容在他们最新的博客中 在这里.

现在的情况

在披露该漏洞后不久,概念证明(PoC)代码发布于 GitHub据称,它可能被用来瞄准零日. 据报道,在PoC可用后,威胁行动者立即开始积极扫描互联网上的脆弱系统, 新西兰计算机应急响应小组(CERT NZ)在同一天警告称,该漏洞正在被“积极利用”. 网络安全与基础设施安全局(CISA)也发布了新闻稿, 重申了Apache软件用户在降低CVE-2021-4428威胁方面的重要性.

不出所料,这个漏洞的消息很快开始在网络犯罪社区中传播. 一位论坛用户将该漏洞比作“导致Equifax 2017数据泄露的漏洞”(另一个Apache Struts漏洞),另一位用户将其比作“永恒之蓝”。, 单独的远端控制设备漏洞. 另一名用户声称,该漏洞在“80%的实际服务器上都有效”.”

网络犯罪论坛用户宣布CVE-2021-44228的POCs来源自Github

其他用户开始报告说,这些POCs被匆忙地从Github上移除, 作为回应,他们创建了POC的复制品,与其他论坛成员分享. 一般, 论坛用户认为,随着防御者的追赶,该漏洞在短期内可能会被“大规模利用”. 

网络犯罪论坛用户从Github克隆POC

中文论坛用户用户共享Log4j2漏洞

下一步要做什么

It will be a long weekend for many of us; make sure to take breaks to rest 和 recover. 你需要头脑清醒才能进行下一步工作. 

(来源:微博)

以下是美高梅集团app下载认为你应该优先考虑的事情: 

  1. 评估日志以确定攻击者是否可以在您的基础设施上执行任意代码. 使用与这些活动或“jndi:ldap”相关的IOC。.
  2. Assess which variables or fields within your application may be parsed by Log4J; if these variables are able to be modified by an attacker then exploitation may be possible. 这里有很大的创造性思考的空间——如果在Minecraft聊天的消息可以导致服务器的妥协, 那就没有限制了. 
  3. 联系那些能接触到敏感信息或提供关键任务服务的关键供应商. 询问他们是否受到Log4j漏洞的影响以及他们的补救计划. 你猜怎么着? 他们可能会说他们仍在调查中,这是真的,所以一定要跟踪他们. 
  4. 确保您在通过事件响应活动的过程中吸取了经验教训. 日志设置正确吗? 你有权限查看那些日志吗? 您是否有帮助您快速了解脆弱资产的范围和影响的软件材料清单?
  5. 最后, 如果你已经是美高梅集团app下载客户端, 美高梅集团app下载为此发布了公共情报警报, 包括相关的, 关于此事件的最新活动和最新更新的最新信息. 此外,美高梅集团app下载创建了一些影子搜索查询,你可以在下面使用.

影子搜索建议

指标查询:  

type=[indicator feeds] AND (" log4j " OR " CVE-2021-44228 " OR " Log4Shell ")

通过威胁英特尔提供的漏洞信息: 

(" log4j " OR " CVE-2021-44228 " OR " Log4Shell ") type=[blog posts] OR type=[intelligence incidents] date=[now-7d TO now]

通过web资源获取的漏洞信息: 

(" log4j "或" CVE-2021-44228 "或" Log4Shell ") type=[web source] date=[now-7d TO now]

查询论坛、聊天和市场上的讨论: 

(" CVE-2021-44228 " OR " Log4j " OR " Log4Shell ")

查询漏洞信息: 

(" CVE-2021-44228 "或" Log4j "或" Log4Shell ") AND (type=[漏洞 & 利用)

在试驾中访问美高梅集团app下载的威胁情报

试驾探照灯免费 7
现在试一试

与美高梅集团app下载联系

友情链接: 1 2 3 4 5 6 7 8 9 10