卡巴斯基透露：Log4Shell漏洞可能影響全球近10%的ICS 系統

知名網絡安全公司卡巴斯基的研究人員根據對遙測數據的分析透露，全球至少有十分之一的工業控制系統 (ICS) 可能受到Log4Shell漏洞的影響，因為它們使用易受攻擊的Java軟件。卡巴斯基公司還確定，操作技術(OT)系統似乎幾乎與IT 系統一樣容易受到Log4Shell漏洞的影響，這從 ICS 產品供應商最近發布的許多漏洞公告中可以看出。

Apache基金會在過去幾周發布了對其Log4j庫的多個更新，以應對其基于Java的日志庫中的多個漏洞，該庫用于各種消費者和企業服務、網站、應用程序和OT產品。Log4Shell漏洞于12月9日被檢測到，其他Log4j 漏洞也已被編號。另一個Log4j更新已經公開發布，修補了在2021年最后一周發現的代碼執行漏洞。現在建議用戶升級到Log4j 2.3.2 for Java 6、2.12.4 for Java 7或2.17.1 for Java 8。

卡巴斯基表示，Log4Shell漏洞的首要問題在于其影響的規模之大，因為它在不同程度上影響了大量產品，每一種都以不同的方式，識別網絡上的所有易受攻擊的資產可能是一項挑戰，尤其是在地理上大型工業組織的分布式異構環境。

第二個問題是，沒有一個簡單的解決方案適合所有組織及其所有易受攻擊的系統。雖然有些系統可能允許快速修補，但許多其他系統很難快速修補，必須采取各種緩解措施來保護它們。

第三個問題是，這不是影響特定產品的漏洞，甚至不是影響在不同終端產品(例如許可服務)中以或多或少相同方式使用的現成通用 OEM 組件的漏洞。 

事實證明，修復技術本身的漏洞也很困難，因為在開發人員發布補丁幾天后，發現了一個新的攻擊媒介。

卡巴斯基關于工業企業Log4Shell漏洞的報告還發現，許多易受攻擊的產品廣泛應用于電力領域，包括發電設施的分布式控制系統、監控現場設備(變壓器)的產品、資產管理產品、產品用于控制電動汽車充電站，系統運營商的各種產品，以及其他配套產品，其中許多可以與SCADA(監督控制和數據采集)控制系統架構集成。

卡巴斯基說，利用 Log4Shell 漏洞，開發人員允許用戶定義要記錄的內容，以及記錄數據的方式(以何種格式)和從什么來源獲取。存儲在遠程位置的Java類可用作數據源。還可以使用JNDI（Java 命名和目錄接口）查找和找到該類，JNDI是一個統一接口，旨在與各種目錄服務一起使用，例如 LDAP(輕量級目錄訪問協議)、DNS(域名系統)和RMI(遠程方法調用)。

因此，惡意行為者可能會將特制的Log4j JNDI 查找字符串傳遞給易受攻擊的應用程序，因為這并不重要。卡巴斯基表示：“如果傳遞的字符串包含存儲在攻擊者控制的服務器上的惡意 java 類的路徑，那么攻擊者就需要確保從服務器下載惡意代碼并在易受攻擊的應用程序的上下文中執行。” .

Log4Shell 漏洞還嚴重影響工程中的計算機和組織，例如工業企業廣泛用于開發新產品的開發團隊建模、仿真和協作產品，以及 PLM(產品生命周期管理)和 CAD/CAM系統，這些系統不僅用于設計和開發新產品，還用于生產過程。該漏洞還影響許多建筑管理系統，包括物理安全系統。

卡巴斯基還認為，“由于廣泛使用的通用組件，例如許多ICS產品中使用的流行許可證管理軟件，許多ICS可能容易受到攻擊(不幸的是，產品供應商尚未發布補丁或安全公告，由于負責，我們無法提供更多詳細信息)披露考慮)。OPC UA協議棧的一些Java實現也容易受到攻擊。

該公司還發現，目前難以評估的OT系統的其他風險領域與使用設施運營不需要的易受攻擊的軟件有關，并且這些軟件的安裝可能經常違反信息安全政策。它還警告了工業物聯網 (IIoT) 和智能能源應用，事實證明，其中許多應用是使用易受攻擊的技術開發的。

卡巴斯基表示，盡管仍然很難說易受攻擊的 ICS 系統在多大程度上暴露于潛在攻擊，但他們希望，與IT基礎設施不同，大多數易受攻擊的 OT系統不能接受來自不受信任來源的輸入。

參考鏈接：

https://industrialcyber.co/threats-attacks/log4shell-vulnerability-may-have-affected-close-to-10-percent-of-ics-systems-globally/