Log4Shell, 这个上周五出现的一个超级零日漏洞展示了一个隐藏在基本功能中的问题是如何对企业安全产生重大影响的。当确定了如何响应以及如何修复该漏洞后，接下来一步应该是评估如何改进未来的检测和响应流程，因为这个漏洞的出现肯定不会是最后一个。

CVE-2021-44228是什么？

这个问题的初步迹象出现在周五早些时候的 Twitter 上，其中描述了对流行的 Java 日志框架 Log4j 中漏洞的零日利用。问题的核心在于当使用特定格式的字符串时，Log4j 将解析这些字符串，而不是仅仅将这些字符串写入日志文件。这可能会导致远程代码执行 (RCE)，从而危及目标系统。该漏洞最终漏洞号为CVE-2021-44228，被命名为 Log4Shell，并获得了CVSS最高严重性等级 10。

由于日志系统从大量来源获取数据，因此去修复和找到可能带来影响的日志是一个非常困难的挑战。此外，Log4j 通常用作其他软件的一部分的依赖包或与一些黑盒应用捆绑在一起，因此组织不太可能对所有可能存在漏洞的系统进行注册。

整个周五，有人提出了几种新的漏洞利用方法，包括攻击者将其浏览器的用户代理设置为漏洞利用字符串（用户代理通常由 Web 服务器登录）或更改其家庭 Wi-Fi SSID 以利用云服务，例如 Apple 运行的云服务等。

著名蓝队论坛（blueteamsec subreddit）上提供了有关利用和防御此问题的其他技术细节，他们正在运行各种工具来整理信息。

可参考：（https://www.reddit.com/r/blueteamsec/comments

/rd38z9/log4j_0day_being_exploited/?utm_source=share

&utm_medium=web2x&context=3）

该安全事件的发酵速度极快，这个问题很显著的让大家看到安全事件的发酵速度有多快。在提供漏洞和利用信息的初始公共平台（通常在 Twitter 上）发布后，我们看到仅仅在几个小时以内就引入了各种检测和利用工具。并且快速的开发出了针对流行的 Web 应用程序扫描工具 Burp 的插件和用于扫描框架核的新模块。

如何缓解该问题的思路

虽然攻方的工具和方法发展十分迅速，但很高兴看到在守方的防御方面也有快速反应。Akamai提供了规则来帮助阻止对该问题的初始利用，比如通过Cloudflare，这展示了许多组织采用的分层防御的好处。

对于大多数组织而言，对这个问题的回应将分为几类。最外围防护响应应该是使用类似Web 应用程序防火墙 (WAF) 功能，在WAF争取时间的同时进行其他防护策略研究与测试。WAF策略是需要不断调整的，因为已经注意到许多 WAF 绕过技术出现了。

与外围的WAF保护同样重要的是，确定哪些应用是需要打补丁或升级以避免受到影响的。Oracle 和 VMware 等供应商已经提供了有关其产品受此问题影响的信息。但是，可能需要一些时间才能使补丁可用，因为还需要测试各种兼容性问题。

使用Aqua识别并阻止具有 Log4Shell 漏洞的工作负载，在 Aqua 平台中，您可以看到所有受 Log4Shell 影响的容器镜像以及在集群环境中运行的工作负载：

此外，您可以创建一个保护策略，将这些工作负载标记为不合规并阻止其执行：

您可以将 Aqua Scanner 作为 CI/CD 流程的一部分来识别和阻止具有 Log4Shell 漏洞的新构建，从而实现安全左移的检查。

使用Runtime来缓解问题的影响

如果 Log4Shell 漏洞被用于执行恶意负载，则其后漏洞利用将在运行时被检测到并通过 Aqua 的“Drift Prevention”功能进行阻止，从而防止在运行时执行未授权的进程或文件。

Aqua 的高级恶意软件防护可以检测到利用 Log4Shell 漏洞的攻击者加载的任何已知威胁。此外，Aqua CNDR功能可以检测负载执行的恶意活动，包括挖矿、内存执行攻击（无文件攻击）和宿主机逃逸等。

Aqua平台本身会收到影响吗

Aqua 不受影响-我们不使用 Java。

我们所有的组件都使用 Aqua 的解决方案进行了扫描，并且我们验证了我们的软件中没有使用 Log4j。

如何避免未来的问题

等这个问题尘埃落定后，组织就应该考虑如何解决未来风险的问题。各种软件供应链的复杂性决定未来我们不可避免地会再次面临这种安全风险。

公司可以通过多种方式来减少此类问题的影响

良好的软件供应链安全：软件组件清单(SBOM) 可以帮助识别易受攻击的软件。向供应商索取 SBOM 可以帮助公司了解特定软件包的使用情况。

纵深防御措施：虽然诸如 WAF 之类的技术不是安全灵丹妙药，但在处理慢速发展的攻击时，将其部署到位可以提供有效的缓解措施。

出口防火墙：log4j漏洞的主要利用途径之一是受感染系统向外部系统发出请求以提取漏洞利用代码。阻止服务器启动与任意 Internet 系统的连接可以降低出现此问题和许多其他类似问题的风险。

结论：

Log4Shell漏洞是一个非常好的案例，让我们看到了在目前全球网络安全高速发展的同时部署分层安全控制以降低漏洞风险和影响的必要性。同时也让我们看到了那些看似安全的软件，如何最终成为被攻击者利用的标靶。

文章来源AquaSecurity