随着 Log4j 的后果不断显现,三位网络安全专家对您需要了解的内容进行了权衡。
什么是 Log4j?
Log4j 是由 Apache Software Foundation 开发的开源日志记录工具。 开源软件与其源代码一起分发,这意味着它的设计可以公开访问,软件开发人员可以根据需要修改或调整代码。
“如果我是一名开发人员并且我正在编写一些 Web 应用程序,并且我需要一个能够记录用户输入的软件——无论是出于可用性原因还是记录错误——最简单的方法就是获取一个开源库就像已经存在的 Log4j,”数字安全公司 Red Canary 的高级信息安全专家 Brian Donohue 说。
中国电子商务公司阿里巴巴安全团队的一名员工于 11 月 21 日首次向 Apache 报告了 Log4j 库中的一个漏洞。 当 Apache 公开宣布该漏洞(现在称为 Log4Shell)时,他们在通用漏洞评分系统(Common Vulnerability Scoring System)量表上给出了 10.0(可能的最高分)的评级,这是一种评估安全漏洞严重性的标准方法。
为什么 Log4Shell 如此严重?
应用安全公司 Onapsis 的首席产品官 Sadik Al-Abdulla 表示,10.0 评级是 Log4Shell 两个关键方面的结果:它是一个可远程利用的漏洞,它允许代码执行。
“这意味着攻击者可以远程攻击你——他们不必已经在系统上存在,”Al-Abdulla 说。 “如果他们可以与易受攻击的系统通信,他们就可以攻击它。 “远程代码执行”部分意味着它们可以导致代码执行,这意味着当他们可以接管系统时,他们可以做任何他们想做的事情,”他补充道。
正因为如此,Al-Abdulla 说,Onapsis 的威胁实验室已经看到攻击者试图使用 Log4Shell 来执行各种任务,包括安装加密货币矿工和窃取公司整个网络基础设施的密钥。
Donohue 说,其他三个因素导致了 Log4Shell 的破坏性影响。 首先,因为开源实用程序在数字世界中非常普遍,所以几乎所有软件中都可以找到像 Log4j 这样的库,从大型网络基础设施到 ATM 机和加油站。
其次,Log4Shell 不需要攻击者具备很多技术技能。 最后,Log4j 是一个依赖项,这意味着它是更广泛的软件的一个组件,而不是一个独立的应用程序。
“您可能正在使用某个供应商制作的 Web 应用程序框架,而该供应商可能正在使用 Log4j。 所以你不一定总是知道它在哪里,”多诺霍说。
公司和个人能做什么?
网络安全和基础设施安全局发布了一个开源扫描程序,公司可以使用它来识别其软件库中的 Log4j 实例,以及处理漏洞的正式指南。
Al-Abdulla 表示,组织仍需要积极主动地全面测试其安全响应流程。
“在公告发布的一周内已经全面测试了修复程序的供应商与仍未发布它们的供应商之间存在很大差异,”他说。
网络安全公司 KnowBe4 的首席信息官 Colin Murphy 表示,在减轻 Log4j 对个人层面的影响方面,没有什么可以做的。 他说,最重要的是,Log4Shell 是安全意识的警示故事。
“我不认为个人可以真正采用的技术解决方案,但他们当然可以考虑他们的生活是如何相互关联的。 如果您在智能家居中,那么您家周围的所有这些不同的设备都是相互连接的。 在这一点上,所有这些东西都是具有这样一个漏洞的切入点,”墨菲说。
Log4Shell 将如何影响未来的数字安全世界?
Apache 在发现该漏洞后迅速发布了 Log4j 的更新。 但 Murphy、Al-Abdulla 和 Donohue 一致认为 Log4j 的漏洞将会有“长尾”。
Al-Abdulla 说,由于 Log4j 是一个依赖项,因此识别、修复和测试所有使用它的地方可能要复杂得多。
对他来说,像 Log4Shell 这样的重大漏洞将为那些没有对网络安全 CIBR 进行前瞻性思考的公司敲响警钟,-0.12%。
“每次我们发生这样的事件,都会迫使幸存者更加成熟。 每家可能不考虑安全开发生命周期的公司都可能强迫自己重新评估他们是否有很多挫折,甚至试图在自己的产品中找到 Log4j,”Al-Abdulla 说。