Apache Log4j漏洞更新

一个新的远程代码利用(RCE)漏洞(CVE-2021-44228 / CVSS得分10).被称为LogJam/Log4Shell的软件于12月10日星期五登陆互联网^th这让安全人员非常担心，而且有充分的理由. 

易受攻击的代码是Apache日志框架的一部分, 哪个是开发人员用于日志记录目的的开源框架. 漏洞的来源, Log4j, 框架内是否有Java库并用于收集活动. Recent reports 表明该漏洞可能早在12月1日就开始了^st但在漏洞被公开之前，并没有大规模利用的证据. 

该漏洞首先通过微软的Minecraft(基于java的客户端版本)而臭名昭著，其中个人能够通过游戏内聊天功能运行恶意命令.  Since then, 这个漏洞已经蔓延到互联网的各个角落, including Steam, iCloud和各种基于硬件和软件的应用程序.

由于此漏洞允许RCE，因此应尽快应用补丁. 如果设备包含Log4j库，威胁参与者可以通过简单地向设备发送java代码来利用此漏洞. 通过制作命令，以便系统在Log4j库记录恶意代码时执行它们, 他们可能获得对这些设备的未经授权的远程控制. 

因为这个java库通常用于日志记录目的, 任何使用该库的应用程序(版本2).0 to 2.14.1)易受RCE影响. 如果日志bet9平台游戏是面向外部的，这只会使问题更加复杂. 该漏洞已在最新版本(2)中修复.15)，然而，对于最终用户来说，这并不像最初看起来那样容易解决. 

由于漏洞源于软件内置于硬件和基于应用程序的软件中, 终端用户IT部门只有在拥有并管理设备/软件的源代码时才能更新库. 如果IT部门不管理它, 他们必须等待供应商发布补丁或停止使用设备/软件.

对于大多数组织来说，公司必须首先:

1. 确保他们了解所有正在使用的软件(硬件和基于应用程序的软件)
2. 分析这些软件片段，找出潜在的易受攻击的Log4j库
3. 监视供应商发布的补丁以获取更新补丁(如果软件易受攻击)
4. 更新发布后, 按照组织的紧急补丁程序应用紧急补丁程序.

一个安全研究人员(SwitHak)创建了一个GitHub存储库，其中包含与Log4J相关的所有主要公司公告的链接. Using this repository, IT团队可以快速搜索列出的供应商，查找与Log4j相关的供应商披露, 确定软件是否易受攻击，如果有的话, 是否发布了补丁. 该存储库可从 http://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592.

网络安全和基础设施安全局(CISA)局长珍·伊斯特利 发表了以下声明 关于这个漏洞的消息.

“CISA正在与我们的公共和私营部门合作伙伴密切合作，积极解决影响包含Log4j软件库的产品的关键漏洞. This vulnerability, 这是被越来越多的威胁分子广泛利用的, 由于其广泛的应用，对网络防御者提出了迫切的挑战. 最终用户将依赖于他们的供应商, 供应商社区必须立即识别, mitigate, 并使用该软件为各种产品打补丁.  供应商还应该与他们的客户沟通，以确保最终用户知道他们的产品包含此漏洞，并应优先考虑软件更新.” 

中钢协建议资产所有者尽快采取以下三个步骤:

1. 列举安装了Log4j的所有外部设备.
2. 确保您的安全运营中心对上述类别设备上的每一个警报都采取行动.
3. 安装带有自动更新规则的web应用程序防火墙(WAF)，以便您的SOC能够专注于更少的警报.

施耐德唐斯网络安全团队建议启动此存储库，以检查您的软件是否存在漏洞并采取相应行动. 

如果您的组织中有未链接到此存储库中的其他软件, 我们建议与供应商进行检查或分析软件，以确定它是否存在潜在的漏洞, 而首先关注的是面向外部的软件或硬件, 然后在环境中向内移动.

Fortunately, 通过在Log4j的日志文件中查找特定的字符串，可以很容易地检测折衷指标. 快速检查将是搜索URL字段中包含“${jndi”的任何用户代理，并且HTTP状态码为200. 要进一步检测，可以使用 这些命令和规则适合您的需要.

本文是Apache Log4j漏洞系列的延续。 available at http://1etipj.qmwmb.com/our-thoughts-on/category/cybersecurity. 我们鼓励您与您的网络分享我们的文章，并与任何问题联系 [email protected]. 

Apache Log4j CISA资源

• CISA Apache Log4j漏洞指南
• CISA Log4j (CVE-2021-44228)漏洞指南

Apache Log4j Web资源

• Apache - Log4j安全漏洞中心
• GitHub - BlueTeam CheatSheet * Log4Shell*
• Github – Log4j RCE开发检测

Related Articles

• Apache Log4j漏洞更新-政府响应和勒索软件活动
• Apache Log4j漏洞更新- CISA发布紧急指令
• Apache Log4j漏洞更新-修复工具和补丁

关于施耐德唐斯网络安全

施耐德唐斯网络安全实践由提供全面信息技术安全bet9平台游戏的专家组成, 包括渗透测试, 入侵防御/检测审查, ransomware security, 脆弱性评估和一个健壮的数字取证和事件响应团队. 欲了解更多信息，请访问www.schneiderdowns.请访问网络安全或与团队联系 [email protected].

In addition, our 数字取证和事件响应 如果您怀疑或正在经历任何类型的网络事件，团队可以拨打1-800-993-8937,24x7x365.

Want to be in the know? 订阅我们的双周通讯， Focus on Cybersecurity, at 1etipj.qmwmb.com/subscribe.