一个新的远程代码利用(RCE)漏洞(CVE-2021-44228 / CVSS得分10).0) dubbed LogJam/Log4Shell hit the internet on Friday December 10th这让安全人员非常担心,而且有充分的理由.
The vulnerable code is part of the Apache logging framework, which is an open source framework used by developers for logging purposes. 漏洞的来源, Log4j, is a java library within the framework and is used to collect activity. 最近 报告 indicate the exploit may have started as early as December 1st但在漏洞被公开之前,并没有大规模利用的证据.
该漏洞首先通过微软的Minecraft(基于java的客户端版本)而臭名昭著,其中个人能够通过游戏内聊天功能运行恶意命令. 从那时起, the vulnerability has spread to all corners of the internet, 包括蒸汽, iCloud and various hardware-based and software-based applications.
由于此漏洞允许RCE,因此应尽快应用补丁. 如果设备包含Log4j库,威胁参与者可以通过简单地向设备发送java代码来利用此漏洞. 通过制作命令,以便系统在Log4j库记录恶意代码时执行它们, they can potentially gain unauthorized remote control of these devices.
As this java library is commonly utilized for logging purposes, any application which utilizes the library (versions 2.0 to 2.14.1)易受RCE影响. 如果日志bet9平台游戏是面向外部的,这只会使问题更加复杂. The vulnerability is fixed in the latest version (2.15),然而,对于最终用户来说,这并不像最初看起来那样容易解决.
由于漏洞源于软件内置于硬件和基于应用程序的软件中, 终端用户IT部门只有在拥有并管理设备/软件的源代码时才能更新库. 如果IT部门不管理它, 他们必须等待供应商发布补丁或停止使用设备/软件.
For most organizations, the company must first:
一个安全研究人员(SwitHak)创建了一个GitHub存储库,其中包含与Log4J相关的所有主要公司公告的链接. 使用这个存储库, IT团队可以快速搜索列出的供应商,查找与Log4j相关的供应商披露, to determine if the software is vulnerable and if so, 是否发布了补丁. 该存储库可从 http://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592.
网络安全 and Infrastructure Security Agency (CISA) Director Jen Easterly 发表了以下声明 concerning the vulnerability early Saturday morning.
“CISA正在与我们的公共和私营部门合作伙伴密切合作,积极解决影响包含Log4j软件库的产品的关键漏洞. 这个漏洞, which is being widely exploited by a growing set of threat actors, presents an urgent challenge to network defenders given its broad use. End users will be reliant on their vendors, and the vendor community must immediately identify, 减轻, and patch the wide array of products using this software. 供应商还应该与他们的客户沟通,以确保最终用户知道他们的产品包含此漏洞,并应优先考虑软件更新.”
CISA recommends asset owners take three immediate steps as soon as possible:
施耐德唐斯网络安全团队建议启动此存储库,以检查您的软件是否存在漏洞并采取相应行动.
如果您的组织中有未链接到此存储库中的其他软件, 我们建议与供应商进行检查或分析软件,以确定它是否存在潜在的漏洞, while focusing on any software or hardware that is externally facing first, and then moving inward in the environment.
幸运的是, 通过在Log4j的日志文件中查找特定的字符串,可以很容易地检测折衷指标. 快速检查将是搜索URL字段中包含“${jndi”的任何用户代理,并且HTTP状态码为200. 要进一步检测,可以使用 these commands and rules to suit your needs.
This article is a continuation of our Apache Log4j Vulnerability series, 可以在 http://rnvg.jkchealthtech.com/our-thoughts-on/category/cybersecurity. 我们鼓励您与您的网络分享我们的文章,并与任何问题联系 (电子邮件保护).
Apache Log4j CISA资源
Apache Log4j Web资源
相关文章
关于施耐德唐斯网络安全
施耐德唐斯网络安全实践由提供全面信息技术安全bet9平台游戏的专家组成, 包括渗透测试, 入侵防御/检测审查, ransomware安全, 脆弱性评估和一个健壮的数字取证和事件响应团队. 欲了解更多信息,请访问rnvg.jkchealthtech.com/cybersecurity or contact the team at (电子邮件保护).
此外,我们的 数字取证和事件响应 如果您怀疑或正在经历任何类型的网络事件,团队可以拨打1-800-993-8937,24x7x365.
想要了解情况? 订阅我们的双周通讯, 关注网络安全, at rnvg.jkchealthtech.com/subscribe.
