Apache Log4j漏洞的影響已蔓延至工業領域

Log4j是一個開源Java日志庫，由Apache Foundation開發，部署在企業應用程序和云服務中。最近火爆網絡安全界的Log4j漏洞編號CVE-2021-44228 并被稱為“Log4Shell”，這是一個未經身份驗證的遠程代碼執行(RCE)漏洞，允許在使用Log4j 2.0-beta9至2.14.1的系統上進行完整的系統接管。Apache已經發布了Log4j 2.15.0來解決該漏洞。就在全球網絡安全機構試圖修補或緩解這個號稱史上最嚴重漏洞之際，Apache Log4j的另一個漏洞于12月14日爆出，該漏洞編號為CVE 2021-45046。根據CVE對該漏洞的描述，原因是Apache Log4j 2.15.0中針對CVE-2021-44228的修復“在某些非默認配置中不完整”，將導致攻擊者……使用JNDI查找模式制作惡意輸入數據，從而導致拒絕服務(DOS)攻擊。Apache已經針對這個問題發布了一個補丁Log4j 2.16.0。

更令人不安的是，Apache Log4j漏洞的嚴重性、廣泛性已經在工業領域開始顯現，自動化廠商開始識別其產品線中存在此漏洞的產品和組件，發現波及面非常之大。工業網絡安全廠商在監測中已經發現大量的漏洞利用嘗試和成功利用的現象。主要國家的網絡安全監管機構已紛紛發布預警，要求限期修復漏洞。

 工業自動化廠商加緊排查受影響產品

Log4j是用于跨行業OT網絡的大量應用程序的日志記錄實用程序。工業自動化供應商已經開始加緊排查其產品受影響程度并修補他們的產品，同時敦促用戶應用這些更新，這些舉措也突顯了及時解決該漏洞問題的緊迫性和廣泛性。

西門子當地時間12月13日發現其部分產品線中存在Apache Log4j漏洞，未經身份驗證的遠程攻擊者可能會利用該漏洞在易受攻擊的系統上執行代碼。該公司15日更新的受上述兩個漏洞影響的產品多達35種，包括E-Car OC Cloud Application、EnergyIP、Industrial Edge Management App (IEM-App)、IndustrialEdge Management OS (IEM-OS)、Industrial Edge ManagementHub、LOGO! Soft Comfort、Mendix、MindSphere、Operation Scheduler、Siguard DSA、SIMATIC WinCC v7.4、Siveillance Command、Siveillance Control Pro和Siveillance Vantage等。

除了確定各種緩解措施外，西門子還建議用戶使用適當的機制保護對設備的網絡訪問。為了在受保護的IT環境中操作設備，西門子建議根據西門子工業安全操作指南配置環境。

另外一家自動化巨頭施耐德電氣12月13日在一份咨詢報告中表示，將繼續評估Log4j漏洞如何影響其產品，并將在特定產品的緩解信息可用時通過其網絡安全支持門戶向客戶提供更新。目前尚未列出其受此漏洞影響的產品清單。

施耐德電氣還建議客戶使用IoT/OT感知網絡檢測和響應(NDR)解決方案和SIEM/SOAR解決方案來自動發現和持續監控設備的異常或未經授權的行為，例如與陌生的本地或遠程主機的通信。

Prosys OPC公司13日發布了公告，列出了受影響的產品。目前已經更新了其受影響的OPCUA模擬服務器、Modbus服務器、Historian、瀏覽器和監視器產品。

羅克韋爾自動化15日的最新調查評估表明表明，目前已有8款產品受到漏洞的影響，其影響評估工作仍在進行，將為供應商和合作伙伴提供新的信息。

卡耐基梅隆大學大學的計算機應急響應組織(https://www.kb.cert.org/)為log4j迄今為止的三個漏洞(包括CVE-2021-4104_創建了可能影響的廠商清單，在1555家廠商中，羅克韋爾自動化、西門子已在列，標記為明確受CVE-2021-44228的影響。

 工業網絡安全公司監測已發現漏洞利用攻擊

工業網絡安全公司Dragos分析的數據發現，Log4j漏洞具有供應商無關性，會影響專有和開源軟件，將使多個行業面臨遠程攻擊，包括電力、水、食品和飲料、制造業和運輸業。 

Dragos在其博客文章中稱，它“基于庫的普遍性和快速增長的利用方法，高度自信地評估此漏洞將影響運營技術(OT)網絡，” Dragos的威脅情報平臺已經觀察到對Log4j漏洞的利用嘗試和成功利用，并且基于這些觀察已經對早期利用嘗試中使用的惡意域名進行打擊。

Dragos稱，Log4j存在于許多工業應用程序中使用的開源存儲庫中，例如過程控制的對象鏈接和嵌入(OPC)基金會的統一架構(UA)Java Legacy。另外，攻擊者可以利用在其代碼庫中使用Java的專有監督控制和數據采集(SCADA)和能源管理系統(EMS)中的這個漏洞。

Dragos表示，主要OT供應商已開始披露此漏洞對其軟件和設備的影響，隨著供應商排查清楚其產品線中Log4j的使用情況后，更多不利的信息將被披露。但更為不幸的是，Log4j漏洞的性質使得識別給定網絡上可能受影響的服務器富有挑戰性。雖然用Java編寫的面向網絡的服務明顯面臨風險，但該漏洞在技術上可以影響處理和記錄用戶提供的數據的任何服務器(包括后端資源)。

雖然輕量級目錄訪問協議(LDAP)攻擊向量獲得了最初的大部分關注，但Dragos也觀察到了使用域名系統 (DNS)和遠程方法調用(RMI)的攻擊企圖，以及潛在的協議和漏洞利用方法列表，將繼續增長。對于實施了嚴格分段的OT網絡，這些協議的風險將在一定程度上得到緩解；然而，配置用于遠程訪問的SCADA/EMS等OT元素可能會利用LDAP進行口令管理，因此容易受到攻擊，特別是被網絡中橫向移動的對手所利用。與商用信息技術 (IT) 網絡隔離較弱的OT網絡將受此漏洞的影響最大，尤其是因為發現了其他協議來啟用漏洞利用。

另一家工業網絡安全公司Nozomi Networks則在12月14日表示，該漏洞的本質在于log4j實用程序默認啟用了消息查找替換。因此，攻擊者可以制作一個特殊請求，使該實用程序遠程下載并執行有效載荷。其他協議如DNS、RMI和LDAPS也可能被濫用。這種行為已在最近發布的Apache Log4j 2.15.0中得到修復。

知名工業網絡安全公司claroty在其14日發布的博文中，評估了漏洞對SCADA、ICS和OT的影響，其安全研究團隊Tem82還致力于創建更多概念驗證來復現漏洞，并期望有自動化供應商合作伙伴可以使用這些概念驗證來測試他們的產品是否易受攻擊。Team82的PoC在 VMwarevCenter成功觸發了CVE-2021-44228。

Tenable在公司博客中寫道，發現Apache Log4j軟件中的一個關鍵缺陷對網絡安全行業來說簡直就是“福島”時刻。他們每分鐘都在發現以某種方式使用Log4j的新應用程序。它不僅會影響用戶構建的代碼，還會影響現有的第三方系統。Tenable公司的首席技術官Deraison稱，這個漏洞最終可能使攻擊者能夠利用作為可靠安全實踐的日志記錄：組織越安全，記錄的每個操作就越多，日志數據池越大，使用Log4j就越多，被利用的可能性就越大。

 網絡安全監管機構發出警報

Log4j漏洞最早的官方預警由新西蘭國家CERT發出，此后美國、英國、澳大利亞、加拿大等國有的網絡安全管理機構均發出警報。美國網絡安全與安全局(CISA)則專門指出了該漏洞可能對OT安全的影響。CISA12月13日表示，Log4j廣泛用于各種消費者和企業服務、網站和應用程序，以及運營技術(OT)產品，以記錄安全和性能信息。該機構發現未經身份驗證的遠程黑客可以利用此漏洞來控制受影響的系統。安全機構已要求供應商使用Log4j識別、緩解和修補受影響的產品，并將包含此漏洞的產品告知最終用戶，并敦促他們優先考慮軟件更新。

CISA表示，使用RCE漏洞，受影響的Log4j版本包含Java命名和目錄接口(JNDI）功能，這些功能“無法抵御攻擊者控制的LDAP（輕量級目錄訪問協議）和其他JNDI相關端點”。攻擊者可以通過向易受攻擊的系統提交特制請求，導致該系統執行任意代碼來利用此漏洞。該請求允許對手完全控制系統。然后，攻擊者可以竊取信息、啟動勒索軟件或進行其他惡意活動。

美國CISA 已于當地時間12月14日在已知被利用漏洞目錄中添加了13個新漏洞，其中包括Apache Log4j的漏洞。同時要求聯邦機構在2021年12月24日之前解決Log4j庫中的關鍵Log4Shell漏洞。

 安帝科技對工業企業的安全建議

鑒于log4j漏洞影響的廣泛性和嚴重性，加之排查受影響資產的艱巨性和挑戰性，工業企業務必認清本次漏洞響應對抗的持續性和長期性。

1. 立即排查所有IT系統和OT系統中應用Log4j的詳細情況，嚴格監測有漏洞資產的訪問控制，盡快更新到Apache發布的最新版本 2.16.0。

2. 實時關注自動化供應商的安全咨詢信息，及時掌握受影響產品種類、型號、版本信息，以及廠商發布的補丁，第一時間協調更新。

3. 加強網絡衛生檢查，嚴格落實IT網絡和OT網絡的分區分域隔離。

4. 調查可能受影響系統受到攻擊的證據。監測分析網絡和終端，查看服務器日志，查看文件系統以查找新文件和可疑文件創建的跡象。

參考資源：

1.https://claroty.com/2021/12/14/blog-research-what-you-need-to-know-about-the-log4j-zero-day-vulnerability/

2.https://www.prosysopc.com/blog/log4shell-attack/

3.https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1133605

4.https://industrialcyber.co/vndrs/siemens/

5.https://industrialcyber.co/vndrs/schneider-electric/

6.https://cert-portal.siemens.com/productcert/pdf/ssa-661247.pdf

7.https://www.dragos.com/blog/industry-news/implications-of-log4j-vulnerability-for-ot-networks/