Log4j零日漏洞(CVE-2021-44228), 一个开源的, 基于java的日志工具,被澳门赌场官方下载应用程序和云服务广泛使用, 最近才曝光.
Log4j2包含一个名为“消息查找替代”的日志记录特性.查找方法之一, JNDI查找与LDAP协议配对, 从远程源调用Java类,从而能够执行其部分代码, 导致这样一种情况:当启用消息查找替代时,可以控制日志消息或日志消息参数的攻击者可以执行从LDAP服务器加载的任意代码.
这个漏洞叫做Log4shell, 影响到几乎所有版本的Log4j(不包括最新的版本2.15.0). 数以百万计的Java应用程序使用这个库来记录错误消息. 美国CISA局长伊斯特利在一份声明中说 声明需要明确的是,这个漏洞带来了严重的风险. 只有通过政府和私营部门的合作,我们才能将潜在的影响降到最低. 我们敦促所有组织加入我们这一重要努力并采取行动.”
ISACA董事会主席Gregory Touhill, CISM, CISSP, 准将(退役), 声明称:“这是一个重大的网络漏洞,对那些在各种应用程序和系统中嵌入了Log4j代码的基础设施的人构成了巨大的风险. 正因为如此, 在许多组织能够评估其应用程序和系统的风险暴露之前,可能需要许多周的时间. 因为这个漏洞可以被一行代码远程利用, 重要的是,现在就迅速采取建议的缓解行动,并通过国家cert等渠道随时了解情况, ISACA, 原始设备和软件制造商, 以及其他信誉良好的来源,因为更多的分析将在未来几周内产生额外的缓解和风险管理建议.”
虽然在过去的几天里,世界各地记录了许多攻击企图, 重要的是要立即采取行动,并根据经验教训考虑长期战略. 就立即采取的行动而言,可以在下面找到一些建议(步骤更新于12月22日). 2021年将反映新的指导意见):
- 在网络中搜索Log4J安装.
- 从Apache Foundation补丁到最新版本的Log4J(而Log4shell是在版本2中解决的).15、新漏洞被发现,导致后续补丁2.16和2.17).
- 如果不可能打补丁,则应用本文中报告的缓解措施 link尽管打补丁被认为是最合适的解决方案.
- 继续监视包含Log4j的系统以查找可疑行为.
就长期战略而言,零日漏洞是常态, 检测和响应政策和程序的重要性, 包括以下内容, 必须强调:
- 安全运营中心(内部或外包服务)准备就绪,能够通过适当的培训对零日漏洞做出反应.
- 对事件响应自动化进行投资,使响应团队能够及时和集中地应用程序.
- 制定补丁政策和程序,以保持数字生态系统的更新和升级准备, 包括适当的响应计划和自动测试功能,以及时做出反应.
- 网络安全成熟度评估和相关改进,以确保组织能够在发生网络事件时以预测的方式做出反应.
- 网络安全密切合作, 风险管理及资讯科技审核小组,就上述事项提供保证.
防范零日漏洞需要保持警惕, 训练有素的网络响应团队, 网络成熟的组织和, 最重要的是, 组织中几个不同的与数字信任相关的功能之间的协作,以确保及时的反应和尽可能小的影响.
编者按: 观看ISACA的克里斯Dimitriadis和Scott Reynolds讨论最新的Log4Shell更新 ISACA直播视频.