在披露Log4Shell一年后,大多數公司仍暴露在攻擊之下
在Apache軟件基金會去年11月披露Log4j漏洞一年后,雖然針對該漏洞本身的攻擊數量低于最初的預期,但仍然對企業組織構成重大威脅。
安全研究人員說,仍然有很多系統沒有針對該漏洞打補丁,企業在發現、修復和防止該漏洞上仍面臨挑戰。
"Contrast Security的首席安全信息官 David Lindner說:"Log4j被用于約64%的Java應用程序,而其中只有50%的應用程序已經更新到完全固定的版本,這意味著攻擊者將繼續針對它。至少現在,攻擊者繼續在尋找通過Log4j進行攻擊的途徑。
攻擊比預期的要少
Log4j的缺陷(CVE-2021-44228),通常被稱為Log4Shell,存在于Log4j用于數據存儲和檢索的Java命名和目錄接口(JNDI)。它可以幫助遠程攻擊者來控制易受攻擊的系統。鑒于Log4J幾乎被用于每一個Java應用環境,安全研究人員認為它是近年來最具威脅的漏洞之一,因為它很普遍,而且攻擊者可以相對容易地利用它。
在過去的一年里,已經有許多關于攻擊者利用該漏洞作為進入目標網絡的報道。其中許多攻擊涉及來自朝鮮、伊朗和其他國家的由國家支持的APT組織。例如,11月美國網絡安全和基礎設施安全局(CISA)警告說,一個由伊朗政府支持的APT組織利用未打補丁的VMware Horizon服務器中的Log4j漏洞,在一個聯邦網絡上部署了加密軟件和憑證采集器。微軟等其他公司也報告了類似的行為。
盡管還有其他一些關于有經濟動機的網絡犯罪團伙利用Log4j的報道, 但公開報道的涉及Log4的破壞事件的實際數量仍然比較低,特別是與涉及Exchange Server漏洞(如ProxyLogon和ProxyShell)的事件相比。Tenable公司的首席安全官Bob Huber說,相比于該漏洞的簡單性和普遍的攻擊路徑,報告的攻擊規模和范圍出乎意料地低于預期。Huber說:只是在近期,我們才看到一些有針對性的重要報道,如最近CISA的民族性國家活動。
威脅未減弱
然而,安全研究人員指出,這并不意味著Log4j的威脅在過去一年中已經減弱。
首先,很大一部分企業仍然像一年前一樣容易受到威脅。根據Tenable最近進行的一項與該漏洞有關的遙測分析顯示,截至到10月1日,72%的企業容易受到Log4j的攻擊,全球僅有28%的組織已經對該漏洞進行了全面修復。但當這些企業在向其環境中添加新的資產時,經常又一次地遭到Log4j的漏洞攻擊。
Huber說:假設企業在軟件的構建管道中建立修復,那么再一次地遭到Log4j漏洞攻擊的概率會減少。是否會再一次地遭到Log4j漏洞攻擊很大程度上取決于一個企業的軟件發布周期。
此外,盡管網絡安全界對這個漏洞的認識幾乎無處不在,但由于應用程序如何使用Log4j,在許多企業中仍然很難找到有漏洞的版本。Sonatype公司首席技術官Brian Fox說,一些應用程序可能將開源日志組件作為其應用程序的直接依賴項,而在其他情況下,一些應用程序可能將Log4j作為一個交叉依賴項或另一個依賴項的依賴。
Fox說:由于過渡性依賴是從你的直接依賴項的選擇中引入的,它們可能并不總是被你的開發人員所了解或直接看到。
Fox說,當Apache基金會首次披露Log4Shell時,公司不得不發出成千上萬的內部電子郵件,在電子表格中收集結果,并遞歸掃描文件系統。這不僅僅花費了公司寶貴的時間和資源來修補該組件,而且延長了該漏洞的惡意影響程度。
來自Sonatype維護的Maven Central Java倉庫的數據顯示,目前35% 的 Log4 下載仍來自該軟件的易受攻擊版本。許多公司甚至在開始響應之前仍在嘗試建立他們的軟件清單,并且沒有意識到傳遞依賴性的影響。
根據上述所有的問題,美國國土安全部審查委員會今年早些時候得出結論:Log4是一個地方性的安全風險,企業將需要與之抗衡多年。委員會成員評估說,Log4j的脆弱實例將在未來許多年里留在系統中,并使企業面臨攻擊的風險。
正面的影響
跟蹤該漏洞的安全研究人員說,Log4j的積極成果是它引起了人們對軟件構成分析和軟件材料清單(SBOM)等實踐的高度關注。企業在確定他們是否有漏洞或在他們的環境中可能存在的漏洞時所面臨的挑戰,促進了人們更好地理解對其代碼庫中所有組件的可見性需要,特別是那些來自開源和第三方的組件。
ReversingLabs的CISO Matthew Rose說:對Log4J問題的調查再次證實,除了跟上DevOps速度的SBOMs之外,還需要更好的軟件供應鏈證明。應用安全和架構團隊已經意識到,僅僅在源代碼、API或開放源碼包等部分尋找風險是不夠的。他們現在意識到,全面了解應用程序的架構與尋找SQLI或跨站腳本錯誤(XSS)一樣重要。
參考來源:https://www.darkreading.com/application-security/one-year-later-log4shell-exposed-attack
