Apache Log4j 漏洞1個月回顧：警惕關鍵信息基礎設施安全 - 網安 - 專業的網絡安全產業、社區、知識平臺

近日，Apache Log4j 漏洞再次曝光3個高危漏洞，評級均在高危以上。

自2021年12月7日公開，Apache Log4j 漏洞被認為是“2021年最重要的安全威脅之一”，稱它為“核彈級”漏洞真的不是夸張。該漏洞被披露已有1個多月時間，我們一起來回顧下，這場“核爆炸”究竟帶來了哪些連鎖反應？

被披露僅1個多月時間，以CVE-2021-44228漏洞為起始點，Apache Log4j 總計爆發8個漏洞，其中包括5個遠程代碼執行漏洞、1個SQL注入漏洞、2個拒絕服務漏洞，高危以上漏洞占據了7個。

Apache Log4j 漏洞信息表

該漏洞還被廣泛應用于勒索、挖礦、僵尸網絡上，黑產組織利用漏洞發起多個攻擊事件。深信服對此梳理了完整的事件演進時間線：

12月13日，深信服捕獲到勒索病毒Tellyouthepass最新變種使用CVE-2021-44228漏洞專門針對某OA系統對Windows和Linux雙平臺進行攻擊，點擊了解：《深信服EDR成功攔截利用Apache Log4j2漏洞Tellyouthepass 勒索，警惕攻擊OA系統》
12月15日，深信服捕獲到專門針對某OA系統的利用CVE-2021-44228漏洞進行傳播的挖礦病毒，并進行了深入分析，點擊了解：《發現針對某OA的Log4shell漏洞利用的新型挖礦病毒WhiteLotusMiner》

重點關注：關鍵信息基礎設施安全防護

值得關注的是，在Apache Log4j2遠程執行代碼漏洞被披露僅11天后，已有攻擊者利用此漏洞成功攻擊比利時國防部計算機網絡。發言人證實其部分計算機網絡處于癱瘓狀態，如郵件系統已經停機數日。

據媒體報道稱，比利時國防部是第一個報告該漏洞的政府受害者，但鑒于Apache Log4j 漏洞在公共和私營部門流行的軟件中無處不在，它不可能是最后一個。

與此同時，已有勒索團伙將Log4j2漏洞武器化，并擁有完整的攻擊鏈，嚴重威脅各國關基單位的安全與利益。保障關鍵信息基礎設施安全，強化應急響應能力，這是Apache Log4j 漏洞攻擊事件給我們帶來的啟示。

為什么關鍵信息基礎設施極易成為攻擊者利用Log4j 漏洞進行攻擊的目標？

我們知道，Log4j 漏洞不僅存在于組織面向Internet的資產中，還存在于內部系統、第三方應用程序、SaaS和云服務等環境中。對于關鍵信息基礎設施運營單位來說，面對龐雜的資產情況，難以厘清哪些資產完全暴露在威脅之下。

其次，關鍵信息基礎設施所使用軟件可能包含Log4j 漏洞的受信任的第三方 API，或可能包含特定組件的所有依賴項（包括 Log4j 庫）中。由于組織缺乏API行為的可見性及漏洞埋藏較深，識別受影響的應用程序變得異常困難。

關鍵信息基礎設施所使用的軟件可能由第三方供應商提供，但針對Log4j 漏洞，未必所有的供應商都有可用的補丁，因此當前看似“風平浪靜”，實則暗藏安全風險。

解決方案：長效治理防護，筑就安全防線

當前，Log4j1.x已經停止維護，解決1.x版本漏洞，需要升級到Log4j2的新版本。未來，攻擊者還會如何利用Apache Log4j2 組件漏洞對關鍵信息基礎設施進行攻擊不得而知。但可以確信的是，該漏洞在短時間難以全面排查，且一旦威脅快速升級，難以及時規避。

如果只是采用單次的風險排查和應急處置，將無法持續有效控制，風險治理異常困難。組織應基于威脅情報持續監測、快速響應，建立長效治理機制，及時規避風險。

針對該漏洞及后續進化版本，深信服基于深度研究、持續跟進，不斷更新產品內置規則、云端威脅情報，并根據用戶實際情況提供Apache Log4j2組件漏洞長效治理解決方案，從風險排查、安全加固、長效治理三個階段，形成整體全面的建設思路，幫助用戶徹底解決該漏洞帶來的安全隱患。

深信服Apache Log4j2 組件漏洞長效治理解決方案建設思路

1. 專業檢測工具匹配不同需求，快速排查安全隱患

2. 專項檢測防護，見招拆招，針對性有效加固

3. 7*24小時持續監測，全球威脅5分鐘同步，建立長效防護機制

從事件演變過程來看，攻擊者不斷升級其攻擊技術，修復補丁、安全策略等相關措施都存在被繞過的可能：通過深信服安全運營團隊 7*24 小時持續監測漏洞攻擊行為，配合云端威脅情報，全球威脅5分鐘同步，通過“本地 + 云端”的方式第一時間規避該漏洞帶來的安全隱患。

針對Apache Log4j 漏洞，深信服全面梳理事件發展過程，幫助用戶更深入了解其影響面，以及如何針對Apache Log4j2 組件漏洞進行長效治理。