2021年12月，Log4j驚爆“核彈級(jí)”漏洞（Log4Shell），之后很快像癌癥一樣在互聯(lián)網(wǎng)上迅猛擴(kuò)散，短時(shí)間內(nèi)就讓全球超過40%的企業(yè)網(wǎng)絡(luò)遭遇襲擊，于是全世界的企業(yè)安全人員瞬間沒了周末。該漏洞利用成本極低，可以直接任意代碼執(zhí)行，并接管目標(biāo)服務(wù)器，其潛在危害嚴(yán)重性、影響面堪稱2021年之最。

Log4Shell攻擊面巨大，一些專家認(rèn)為，此次漏洞與2014年Shellshock系列安全漏洞不相上下，后者在最初披露的數(shù)小時(shí)內(nèi)就被受損計(jì)算機(jī)的僵尸網(wǎng)絡(luò)利用，發(fā)動(dòng)了分布式拒絕服務(wù)(DDoS)攻擊和漏洞掃描。

Log4j漏洞并不罕見，因而應(yīng)當(dāng)予以持續(xù)關(guān)注，以充分識(shí)別和修復(fù)問題。以下為大家分享一些基本方法。

對(duì)Log4j 的擔(dān)憂主要由于 Java 日志庫的使用頗具普遍性，以及未經(jīng)身份驗(yàn)證的攻擊者能如此輕松就利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行 (RCE)。我們對(duì)配置更新，好像做好了Log4j攻擊套件的應(yīng)對(duì)準(zhǔn)備，但這一切只是臨時(shí)抱佛腳。與此同時(shí)，此種漏洞已出現(xiàn)變種 ，但在組織內(nèi)部，涵蓋核心基礎(chǔ)設(shè)施全面升級(jí)的長期解決方案還遙遙無期。

由于隨后出現(xiàn)的通用漏洞披露 (CVE) ，加之許多團(tuán)隊(duì)在更改配置、掃描資產(chǎn)排查易受攻擊軟件時(shí)過于草率，Log4j要被完全控制還需數(shù)月時(shí)間。許多組織要么長期停留在排查階段，試圖完全找出系統(tǒng)使用 Java 或 Log4j的地方，要么就一直在修復(fù)當(dāng)中，因?yàn)檫\(yùn)營或系統(tǒng)限制束縛了他們推出完整補(bǔ)丁的能力。

因?yàn)槌跏寂渲酶牟粔虺浞?，漏洞不斷變化，或需做好?zhí)行全面修復(fù)的準(zhǔn)備。以下提到的最佳實(shí)踐及重要論點(diǎn)將幫助安全團(tuán)隊(duì)在這方面做好籌謀。

大規(guī)模使用資產(chǎn)管理

在Log4j漏洞出現(xiàn)后，安全團(tuán)隊(duì)抓緊尋找并優(yōu)先考慮擁有大量資產(chǎn)的群體。人們共同企盼能有快速、可擴(kuò)展的方法來查找 Java 和 Log4j 實(shí)例?？捎脵z測工具很多，但許多安全組織卻忘了一項(xiàng)基本內(nèi)容：最新的軟件資產(chǎn)清單。

資產(chǎn)采集和處理非常關(guān)鍵，安全團(tuán)隊(duì)需要如下問題的及時(shí)回答：哪些 Linux 服務(wù)器正在運(yùn)行Log4j？哪些虛擬機(jī)使用Java？ 

強(qiáng)大的資產(chǎn)管理可加快修補(bǔ)周期，每當(dāng)出現(xiàn)新的 Log4j 時(shí)，便立即需要新的補(bǔ)丁。資產(chǎn)管理能力更強(qiáng)的團(tuán)隊(duì)對(duì) Log4j 的響應(yīng)更高效，他們能夠更快識(shí)別出易受攻擊的 Java 實(shí)例，同時(shí)監(jiān)控修復(fù)對(duì)運(yùn)營的影響。

最佳防御：加快修復(fù)周期 

安裝補(bǔ)丁是應(yīng)對(duì)新興威脅的最佳方式，但攻擊者亦會(huì)迅速把新的 CVE 納入攻擊套件。要緩解攻擊和保護(hù)系統(tǒng)，升級(jí)到最新版本是最為可靠的辦法。隨著時(shí)間推移，依靠手動(dòng)配置更改會(huì)導(dǎo)致系統(tǒng)出現(xiàn)漏洞，因?yàn)長og4j 等漏洞也在不斷演化，僅僅改變一個(gè)真/假旗標(biāo)是不夠的。

檢查配置

加強(qiáng)資產(chǎn)管理實(shí)踐，要實(shí)施配置檢查。當(dāng)新的 CVE 出現(xiàn)時(shí)，資產(chǎn)需要進(jìn)一步更新和配置更改，確?？梢詮腖og4j追蹤到它。在該漏洞管理計(jì)劃中，首要一點(diǎn)是安全團(tuán)隊(duì)發(fā)現(xiàn)未知威脅的監(jiān)控渠道。尋找高優(yōu)先級(jí)威脅需要有穩(wěn)妥的流程安排，不要靠聽小道消息或偏信推特內(nèi)容，而要建立一個(gè)積極主動(dòng)的流程。

解決遺留系統(tǒng)問題

如果組織還在使用與 Java 更新版本不兼容的遺留軟件，那么是時(shí)候采取行動(dòng)，促使領(lǐng)導(dǎo)層（和供應(yīng)商）建立強(qiáng)大的軟件資產(chǎn)清單和循環(huán)修復(fù)周期。處理技術(shù)負(fù)債(包括未修復(fù)的遺留軟件)會(huì)消耗過多的資源和帶寬，同時(shí)需要增加監(jiān)控和補(bǔ)償性控制。當(dāng)Log4j出現(xiàn)，安全團(tuán)隊(duì)也就更有話語權(quán)，而這也是計(jì)劃升級(jí)遺留系統(tǒng)的好時(shí)機(jī)。

內(nèi)網(wǎng)和氣隙（Air-Gapped）系統(tǒng)不容忽視

人們通常認(rèn)為氣隙系統(tǒng)和內(nèi)部設(shè)備是安全的，因?yàn)槿绻粽呓佑|不到，自然也就無法利用。但這種假設(shè)對(duì)Log4j來說極為危險(xiǎn)，因?yàn)槲唇?jīng)身份驗(yàn)證的請(qǐng)求，即使通過其他應(yīng)用程序仍然可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行(RCE)漏洞。對(duì)待氣隙系統(tǒng)和內(nèi)網(wǎng)資產(chǎn)應(yīng)如面向互聯(lián)網(wǎng)的資產(chǎn)一樣，隨時(shí)準(zhǔn)備全面升級(jí)并展開配置跟蹤。

安全的自動(dòng)擴(kuò)展和部署

識(shí)別云環(huán)境中可能使用自動(dòng)部署或自動(dòng)擴(kuò)展方案運(yùn)行的資產(chǎn)。要確保這些配置是安全的，并且任何未來部署都不會(huì)使用過時(shí)的Java版本或Log4j庫。這需要與開發(fā)團(tuán)隊(duì)合作，確保這些安全配置納入未來的構(gòu)建當(dāng)中。

參考鏈接：https://www.darkreading.com/attacks-breaches/log4j-getting-from-stopgap-remedies-to-long-term-solutions