軟件內(nèi)部的定時炸彈：0-Day Log4Shell只是冰山一角

作者：朱鋼 2022-01-14 09:00:00

在過去的兩年中，勒索軟件的興起只是冰山一角。頭版頭條新聞和有害軟件供應(yīng)鏈攻擊的揭露將網(wǎng)絡(luò)安全提升到許多政府和組織的首要議程。與此同時，即使是普通大眾也意識到了Nation-State主義者和犯罪組織帶來了一系列新的網(wǎng)絡(luò)威脅。

???

【51CTO.com快譯】“如果攻擊者能夠滲透到像log4j這樣的流行庫中，它們將很快在世界上大多數(shù)數(shù)據(jù)中心內(nèi)以特權(quán)運行。”

— Jeff Williams, Contrast Security (2018)

???

為什么今天的網(wǎng)絡(luò)安全威脅更具威脅性，以及它們與我們過去遇到的障礙有何不同

在我寫這篇文章的時候Log4Shell已經(jīng)發(fā)生了。所以這成為我將要分享的最好的例子--為什么現(xiàn)在的網(wǎng)絡(luò)威脅更具威脅性。

我需要告訴你的是，網(wǎng)絡(luò)安全威脅的性質(zhì)不同于我們過去所面臨的挑戰(zhàn)--從技術(shù)復(fù)雜性到日益增長的相互依賴。因此，攻擊者抓住機會的速度比我們的緩解要快得多。但首先讓我們談?wù)勈裁词荓og4Shell。

Log4j 0-day 漏洞(又稱"Log4Shell")(CVE-2021–44228 & CVE-2021–45046)

世界各地的公司都在努力降低多年來發(fā)現(xiàn)的最重要的開源軟件安全漏洞造成的損害。過去二十年中，在無數(shù)Java應(yīng)用程序中使用了一個名為Log4j的程序，該程序中的一個缺陷，迫使幾乎每家公司都在調(diào)查它們的軟件以確定是否容易受到攻擊。

Zero-day 漏洞 (CVE-2021–44228)于2021年12月9日公布，被稱為Log4j或Log4Shell，它目前正成為攻擊目標(biāo)。因此CVE-2021-44228被指定為最高的“嚴重”性評級，風(fēng)險評分為10/10。

在我撰寫本文時，出現(xiàn)了第二個漏洞，記錄為CVE-2021-45046。根據(jù)MITRE的說法，新漏洞CVE 2021-45046的描述表明，在Apache Log4j 2.15.0中解決CVE-2021-44228的修復(fù)程序“在某些非默認配置中不完整”。

Updated Log4j CVEs Summary

CVE-2021-44228(CVSS評分：10.0)--影響Log4j 2.0-beta9到 2.14.1版本的遠程代碼執(zhí)行漏洞(2.15.0 版本中已修復(fù))
CVE-2021-45046(CVSS評分：9.0)--影響從Log4j 2.0-beta9到2.15.0版本的信息泄漏和遠程代碼執(zhí)行漏洞，不包括 2.12.2(在 2.16.0 版本中已修復(fù))
CVE-2021-45105(CVSS評分：7.5)--影響從Log4j 2.0-beta9到2.16.0版本的拒絕服務(wù)漏洞(已在2.17.0版中修復(fù))
CVE-2021-4104(CVSS評分：8.1)--影響Log4j 1.2版的不受信任的反序列化缺陷(無修復(fù)程序;直接升級到2.17.0版)

為什么這個漏洞如此具有破壞性?

大多數(shù)安全漏洞需要一定程度的專業(yè)知識才能被利用。但這個名為“Log4Shell”的程序所需的工作量很小。

1. 大多數(shù)軟件(實際上是所有的商業(yè)軟件)都會在軟件運行時保存所有的活動日志，允許開發(fā)人員和操作員在用戶遇到問題時查看并找出問題的所在。

2. 該活動包括用戶輸入到網(wǎng)站表單中的按鍵內(nèi)容。

3. Log4Shell漏洞允許攻擊者在Web表單中輸入精心制作的字符串，一旦被記錄下來，就會控制運行它的計算機下載惡意代碼。

4. 根據(jù)應(yīng)用程序決定記錄哪些數(shù)據(jù)，可以在各個領(lǐng)域找到該惡意字符串，從針對Web服務(wù)器的HTTP用戶代理到Minecraft中的聊天室消息。

5. 在當(dāng)時，那臺電腦被“劫持”。

6. 旨在利用該漏洞的惡意軟件周日晚上開始蔓延。

7. 然后攻擊者進一步利用受影響的系統(tǒng)，例如安裝加密挖礦軟件，勒索軟件等等。

利用此漏洞的結(jié)果是可以完全控制受感染的系統(tǒng)。此外無論是否經(jīng)過身份驗證，此漏洞都可以利用，從而增加了總體的嚴重性、規(guī)模和潛在影響，因此CVSS分數(shù)異常的高。

據(jù)MITRE和ZDNet稱，到目前為止，攻擊者已利用該漏洞：

在易受攻擊的系統(tǒng)上安裝加密礦工;
竊取系統(tǒng)憑據(jù)(憑據(jù)被盜);
部署勒索軟件;
更深地隱藏在受損網(wǎng)絡(luò)中(持久性);
竊取數(shù)據(jù)。

建議

目前，Log4j易受攻擊版本范圍從2.0版本到2.14.1。此外，已棄用的1.X中仍然有潛在的漏洞。合理的解決方案是安裝當(dāng)前可用的Log4j修補版本來解決此漏洞，即Log4j版本2.16.0。

此外，端點檢測和響應(yīng)(EDR)、Web應(yīng)用程序防火墻(WAF)和入侵檢測系統(tǒng)(IPS)等網(wǎng)絡(luò)安全解決方案正試圖通過提供“虛擬補丁”來緩解這個問題。

更新?--2021年12月20日(CVE-2021–45105)

Apache Log4j2版本2.0-alpha1到2.16.0(不包括2.12.3)不能防止自引用查找不受控制的遞歸。這允許控制線程上下文映射數(shù)據(jù)的攻擊者在解釋精心設(shè)計的字符串時導(dǎo)致拒絕服務(wù)。此問題已在Log4j 2.17.0和2.12.3中修復(fù)。

網(wǎng)絡(luò)犯罪的性質(zhì)

當(dāng)我們觀察 20 年前的網(wǎng)絡(luò)犯罪分子時，他們必須非常技術(shù)化--我們在電影中看到的“真正的黑客”戴著兜帽，在鍵盤上快速著打字。現(xiàn)在網(wǎng)絡(luò)犯罪的入門門檻低，并且網(wǎng)絡(luò)犯罪正在成為一種服務(wù)。

當(dāng)今最有利可圖的網(wǎng)絡(luò)犯罪活動是勒索軟件，它會滋生更危險的威脅并需要更具創(chuàng)新性的網(wǎng)絡(luò)防御。例如，勒索軟件即服務(wù) (RaaS) 為非技術(shù)犯罪分子提供了利用網(wǎng)絡(luò)勒索的機會。然而，鑒于威脅格局的快速變化，真正的挑戰(zhàn)是了解風(fēng)險。

黑客可以從更復(fù)雜的網(wǎng)絡(luò)犯罪中獲利的另一種方式是為網(wǎng)絡(luò)犯罪提供“基礎(chǔ)設(shè)施即服務(wù)”。該領(lǐng)域的那些人提供服務(wù)和基礎(chǔ)設(shè)施--包括防彈托管和僵尸網(wǎng)絡(luò)租賃--其他不法分子利用這些服務(wù)和基礎(chǔ)設(shè)施來完成他們骯臟的工作。

防彈托管可幫助網(wǎng)絡(luò)犯罪分子將網(wǎng)頁和服務(wù)器放在Internet上，而不必擔(dān)心被執(zhí)法部門刪除。網(wǎng)絡(luò)犯罪分子可以支付僵尸網(wǎng)絡(luò)租用費用，讓他們可以臨時訪問受感染計算機網(wǎng)絡(luò)，用于分發(fā)垃圾郵件或DDoS攻擊等等。

復(fù)雜性與相互依賴性

要明確的是，這不是我們第一次遇到這樣的假期破壞者。上一次遇到這樣的危機是2014年在OpenSSL中發(fā)現(xiàn)Heartbleed漏洞的時候。難道我們不應(yīng)該從錯誤中吸取教訓(xùn)嗎?

幾乎所有主要科技企業(yè)公司都同意向一個基金捐款，以維護OpenSSL和其他關(guān)鍵開源項目的安全。然而，還有兩個更復(fù)雜的問題：

1. 規(guī)模：Java長期以來一直是最著名的企業(yè)軟件編程語言之一，Log4j是Java應(yīng)用中最流行的日志工具之一。

2. 如何構(gòu)建軟件：Log4j也被用于各種開源軟件程序中，這些程序通常作為其他軟件的基礎(chǔ)。

在過去的二十年中，開源軟件導(dǎo)致了企業(yè)軟件創(chuàng)新的爆炸式增長。盡管如此，這個世界上還有一個公開的秘密：許多著名和突出的開源項目都是由少數(shù)人維護的，他們不一定有償去做這項工作。

然而，問題不在于缺少資金：有太多的開源項目被用來構(gòu)建世界上一些最關(guān)鍵的軟件，而僅僅確定需要支持的軟件就是一個巨大的挑戰(zhàn)。

回到BlackHat 2016，Log4Shell被發(fā)現(xiàn)。

最后，還有一個提醒，我們應(yīng)該更加關(guān)注安全研究。例如，在 Black Hat USA 2016中，Alvaro Mu?oz 和 Oleksandr Mirosh 研究了JNDI問題。

雖然沒有具體命名Log4j，但它是Log4j使用底層接口中的缺陷。當(dāng)然，知道Log4Shell是一個“我早就告訴過你了”對所有安全專業(yè)人員來說都沒有什么好處，他們正以110%的速度努力解決這個問題。

然而，知道它是在2016年發(fā)現(xiàn)的，這凸顯了讓安全團隊能夠從研究中獲取相關(guān)信息的重要性，以及將這些經(jīng)驗教訓(xùn)應(yīng)用于組織自己的基礎(chǔ)架構(gòu)和實踐所需的資源(時間，金錢等)。

建議?--再次強調(diào)，零信任和縱深防御

經(jīng)驗證的安全原則，如縱深防御和零信任框架，也可以發(fā)揮重要作用。許多安全團隊非常了解這些概念，并希望將其應(yīng)用于組織的軟件和解決方案部署。

然而，它們經(jīng)常遇到其他利益相關(guān)者的抵制，或者缺乏部署它們的資源。正如我之前提到的，我們?nèi)栽趯崿F(xiàn)這一目標(biāo)的旅程中。

希望隨著自動化(例如基礎(chǔ)架構(gòu)即代碼，主要用于圍繞 CI/CD 構(gòu)建的現(xiàn)代管道)的日益普及，使安全團隊能夠與開發(fā)人員合作，從一開始就跨多個系統(tǒng)構(gòu)建起更安全的解決方案。

零信任原則在主機、應(yīng)用程序和網(wǎng)絡(luò)級別也起著至關(guān)重要的作用。例如在主機級別利用Log4j的進程需要哪些實際權(quán)限和功能。越來越多的行為監(jiān)控(EDR、NDR 和 XDR)與運行時保護可以作為一種強大的組合來減輕被利用系統(tǒng)的影響。

值得注意的是，零信任訪問通過網(wǎng)絡(luò)級別的微分段來體現(xiàn)自己。由于Log4Shell是一個兩階段攻擊--其中有效負載必須從攻擊者控制的系統(tǒng)中下載 --隔離受感染系統(tǒng)的能力是有利的。

最后的話--軟件內(nèi)部的定時炸彈

無論是Log4j還是Realtek漏洞--都是冰山一角。在蠕蟲和病毒準(zhǔn)備削弱網(wǎng)絡(luò)的重要部分的早期，我們作為一個行業(yè)沒有做任何事情：我們沒有實施更好的技術(shù)，減少我們的攻擊面，或解決代碼庫中的內(nèi)存損壞問題。

要了解IT/OT/IoT連接基礎(chǔ)背后真正的危險，還有很多的工作要做。但是我們可以參與查找漏洞，修復(fù)它們，并且提供更高級別的解決方案的各方力量越多，我們就能越快地過渡到更安全的世界。

譯者介紹

朱鋼，51CTO社區(qū)編輯，2019年CSDN博客專家20強，2020年騰訊云+社區(qū)優(yōu)秀作者，10年一線開發(fā)經(jīng)驗，曾參與獵頭服務(wù)網(wǎng)站架構(gòu)設(shè)計，企業(yè)智能客服以及大型電子政務(wù)系統(tǒng)開發(fā)，主導(dǎo)某大型央企內(nèi)部防泄密和電子文檔安全監(jiān)控系統(tǒng)的建設(shè)，目前在BIM頭部企業(yè)從事招投標(biāo)軟件開發(fā)。

原文標(biāo)題：Time Bombs Inside Software: 0-Day Log4Shell is Just the Tip of The Iceberg，作者：Zen Chan

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】

責(zé)任編輯：華軒來源： 51CTO

網(wǎng)絡(luò)安全勒索軟件漏洞