博客

如何缓解当前 Log4j 漏洞并阻止未来漏洞利用

凯瑟琳·纽科姆
凯瑟琳·纽科姆

纳维·吉尔

纳夫普里特·吉尔
2022 年 1 月 10 日发布


什么是 Log4j 漏洞?

对于 IT 界的许多人来说,过去几周是艰难的几周。 12 月 9,Apache 软件基金会用于 Javaapplications的无处不在的日志库 Log4j 中发现并公布了一个严重的零日漏洞。 成千上万的网站和applications使用该软件进行日志记录,以便开发人员调试他们的网站并跟踪他们的applications和网页的其他趋势。 据估计,Log4j 框架被用在数十万个开源软件项目中。 开发人员通常使用这些开源工具构建软件,而不检查可能存在漏洞的底层代码。

简要回顾一下 Log4j 漏洞以及它允许攻击者执行的攻击类型:

F5 实验室表示: “Log4j 有一个以前未被发现的安全漏洞,通过该网站发送给它的数据 - 如果其中包含特殊字符序列 - 则会导致 Log4j 自动从外部网站获取其他软件并运行它。 如果攻击者利用这一点,他们可以让运行 Log4j 的服务器运行他们想要的任何软件——包括可以完全接管该服务器的软件。 这被称为远程代码执行(RCE)攻击。”

Log4j 极有可能造成业务中断

由于 Log4j 的流行,最初的CVE-2021-44228 (昵称 Log4Shell)被确定为严重漏洞。 该漏洞的严重性,加上补丁本身包含漏洞并需要修补的事实,意味着 IT 专业人员可能需要一段时间才能应对该漏洞带来的后果。 再加上 IT 人员需要检查 Log4j 的嵌套引用(即检查其软件中使用的任何库是否引用了 Log4j 库),这意味着 Log4Shell 可能会导致级联效应。 确定 Log4j 漏洞和 Log4Shell 对您的组织造成的全部影响范围可能具有挑战性。 获得免费威胁评估 如果您担心您的组织可能面临风险。

如果您还没有这样做,任何组织为缓解 Log4j 问题应该做的第一件事就是 PATCH! 修补运行 Log4j 的服务器。 使用运行 Log4j 的库来修补软件。 只需修补并继续修补!

当您的组织继续发现和修补这些漏洞的重要而全面的过程时,至关重要的是保护自己免受使用 Log4Shell 漏洞的攻击,并在攻击者已经渗透到您的环境时防止损害进一步传播。 此外,1月4,美国 美国联邦贸易委员会发布通知称,未能修复 Apache Log4J 漏洞的组织可能面临法律诉讼,这强调了 Log4j 的重要性。

即使您已经完全修补,也请务必记住,Log4j 并不是此类漏洞中的第一个,也不会是最后一个。 这就是为什么主动保护自己免受当前和未来的漏洞攻击至关重要,同时还要制定计划,以防攻击者利用系统中的漏洞来保护您的网络。 幸运的是,缓解策略相对容易实施。

在缓解 Log4j 等漏洞时,请确保:

  1. 通过实施 WAF,主动保护您的组织免受使用 Log4Shell 和其他同类漏洞的攻击
  2. 采取安全措施,确保如果您的组织受到攻击,您可以在该漏洞对您的网络造成严重损害之前阻止其蔓延
  3. 进行审计以确定漏洞的全部影响范围
  4. 修补所有使用或引用漏洞的代码,使用审计确保所有漏洞都得到修补

使用签名阻止已知攻击媒介来缓解 Log4j 漏洞

如果不加以解决,网络攻击者可以迅速接管数千个网站和在线应用程序,从而窃取敏感数据。 最有效的解决方案是使用最新版本的 Log4j 修补应用程序代码,并使用 Webapplication防火墙 (WAF) 阻止恶意请求。

您可能还需要在易受攻击的服务器和软件堆栈上安装针对 Log4j 漏洞的必要补丁,同时保护您的组织免受 Log4Shell 攻击。 这时 WAF 也能提供帮助。

F5 WAF 解决方案全部建立在 F5 一致、强大的 WAF 引擎之上,并可用于部署和消费模型,以最好地满足您的安全需求,有助于减轻 Apache Log4j 远程代码执行 (RCE) 漏洞对您基础设施的影响。 F5 提供四种选项来利用我们强大的 WAF 引擎保护您的application:

  1. F5Advanced WAF(API 安全 - 新一代 WAF)
  2. NGINX 应用保护 WAF
  3. Silverline WAF
  4. 沃尔泰拉 WAF

F5 发布了一组用于阻止已知 Log4j 漏洞攻击媒介的签名。 F5 Advanced WAF(API 安全 - 新一代 WAF)NGINX App Protect WAF均可阻止使用特定于 Java 命名和目录接口 (JNDI) 注入和通用 JNDI 注入签名的攻击尝试。 这些签名是服务器端代码注入签名集的一部分,该签名集根据对威胁和已知 WAF 绕过的持续调查进行更新,并使用新规则有效检测 Log4Shell 攻击。 通过这种方式,F5 WAF 实现了“虚拟修补”。 请访问此处获取对 BIG-IP 和 NGINXapplication安全产品的缓解支持。

F5 Advanced WAF(API 安全 - 新一代 WAF)提供的高级保护远远超出了简单地防御 OWASP Top 10 的范围,非常适合希望自我管理和为传统应用程序定制细粒度控制的以安全为重点的组织。 如果您已经是 F5 BIG-IP 客户,那么您的网络上就已经拥有业界最强大的 WAF——F5 WAF 引擎。 在 BIG-IP 上许可Advanced WAF(API 安全 - 新一代 WAF) ,特别是如果您是 F5 BEST 许可证持有者,可以自动缓解新威胁和持续威胁,提高安全效力以实现更好的保护,并解锁机器学习和行为分析以实现无接触应用程序保护。 

对于为您的 Agile DevOps 团队构建并旨在保护您的现代基础设施或 Kubernetes 环境的自管理 WAF 解决方案,NGINX App Protect WAF 将最能满足您的需求。 有关 NGINX App Protect WAF 的更多详细信息,请访问使用 NGINX 博客缓解 log4j 漏洞

如果您希望享受与Advanced WAF(API 安全 - 新一代 WAF)或 NGINX App Protect WAF 相同的保护,但需要或更喜欢采用不干涉的方法来帮助您立即缓解漏洞,那么像 F5 的基于云的Silverline WAF这样的托管服务可能是完美的选择。 Silverline WAF 是 F5 首屈一指的全托管 WAF 服务,提供全面的解决方案来保护混合云或多云环境中的applications,并由 F5 SOC 的安全专家提供支持。F5 Silverline SOC 团队已实施必要的缓解措施,持续监控威胁并应用所需的缓解措施和保护措施来抵御 Log4j 等漏洞。

我们的Volterra WAF平台也收到了更新的签名,以进一步减轻与 Log4j 漏洞相关的任何暴露。 这些签名现在包含在默认 WAF 策略中,我们的 Volterra WAF 客户无需采取额外措施来缓解 Log4Shell 攻击。 对于寻求基于 SaaS 部署的云原生 WAF 的用户来说,Volterra WAF 将是最佳选择。

F5 WAF 产品和服务(F5 Advanced WAF(API 安全 - 新一代 WAF)、NGINX App Protect WAF、F5 Silverline WAF 和 Volterra WAF)可以在任何需要的地方联合使用和部署,以最好地解决和保护您的applications并防御应用层威胁。

此外,高级攻击活动很难从单一攻击中检测到。 F5 威胁活动与 F5 Advanced WAF(API 安全 - 新一代 WAF)和/或 NGINX App Protect WAF 一起提供,通过准确检测和主动阻止当前的攻击活动来保护应用程序和 IT 基础设施免受复杂攻击。 虽然 F5 WAF 本身是一个重要的安全控制点,但威胁情报可以将单一攻击事件与更广泛、更复杂的活动联系起来,使您能够防御可能逃避基本 WAF 安全策略的针对性攻击。 可以轻松将威胁活动添加到您的Advanced WAF(API 安全 - 新一代 WAF)和 NGINX App Protect WAF 部署中,以自动化安全检测和阻止威胁。

建立针对 Log4Shell 攻击的防御机制,以防受到攻击

考虑到有多少个库使用 Log4j,立即确定该漏洞对您的组织的全部影响范围可能会很困难。 不幸的是,在此期间,您可能很容易受到剥削。

例如,攻击者可以向恶意端点发送请求,以获取和部署恶意软件。 或者攻击者可以向服务器创建请求,导致受感染的服务器执行黑客发出的与其正常运行相反的命令并危害您的组织。

即使攻击者已经利用了该漏洞,您仍然还有选择。 幸运的是,一旦攻击者执行了一段利用 Log4Shell 的远程代码,您可以通过检查出站服务器流量来阻止漏洞在您的网络内传播。

假设您在网络边缘有一个解决方案,可以解密并检查加密的流量数据包。 在这种情况下,您可以捕获由于 Log4j 漏洞传播的恶意软件或恶意流量,并在其造成进一步损害之前阻止它。 一个例子是联系命令和控制服务器来发起更多攻击,甚至窃取数据。 由于服务器通常连接到互联网,因此您的服务器流量将通过 TLS 穿越您的环境。 因此,检查加密服务器流量对于遏制和阻止已经受到损害和脆弱的环境的蔓延至关重要。

使用F5 SSL Orchestrator这样的产品可以提供加密流量的可见性,并通过帮助执行解密的出站分析来阻止加密威胁。 SSL Orchestrator 解密通过您网络的流量,甚至是服务器流量,并将流量发送到第三方检查服务(例如 NGFW、WAF、SWG、IPS 或 DLP),然后这些服务可以允许、阻止或绕过流量,以确保没有加密的恶意软件在进入您的网络时传播;并且没有发往 C 的恶意流量2(命令和控制)服务器或泄露的数据可能会逃出您的环境。 SSL Orchestrator 的设计和构建旨在增强 SSL/TLS 基础设施,提供可洞察 SSL/TLS 加密流量的安全解决方案,并优化和最大化您现有的安全投资,以保护您的网络免受级联攻击。

结论

Log4j 不是第一个既严重又影响广泛的漏洞,也不会是最后一个。 现在保护自己免受 Log4j 攻击非常重要(在发布时这些攻击仍在进行中),但加强application和网络安全性以保护您的资产免受不可避免的下一个严重漏洞的侵害也同样重要。

当下一个严重漏洞出现时,做好准备意味着要遵循以下四个步骤。 理想情况下,在公布漏洞之前,就采用 WAF,以便您的应用程序免受已知攻击媒介(例如 Log4Shell)的攻击。 此外,最好在公布漏洞之前,就制定一个保护网络的解决方案,这样,如果您在修补过程中受到攻击,并且攻击者能够渗透到您的网络,您就可以防止黑客利用漏洞控制您的服务器或窃取您的数据。 然后在宣布漏洞之后,下一步行动就是确定您的暴露情况。 (F5 的免费威胁评估可以提供帮助!) 接下来,修补,修补,修补! 有了这四种策略,您就可以为下一次漏洞的出现做好准备。

F5 可以帮助您制定全面的缓解计划,防止攻击者利用漏洞,并且即使在成功利用漏洞后也能保护您的环境免受进一步的损害或危害。

如果您对缓解 Log4j 漏洞或其他类似漏洞还有任何疑问,请联系您的 F5 销售团队或通过sales@f5.com联系我们。 要了解 F5 对 Log4j 的响应情况,请关注我们的博客,我们会随着新信息的出现而更新。

如果您目前遭受攻击并需要紧急援助,请致电我们的安全运营中心 (SOC) (866) 329-4253 或 +1 (206) 272-7969。 如需国际电话号码,请访问https://www.f5.com/attack 。 现有的 BIG-IP 客户可以联系安全事件响应团队。