隨著 Log4j 的後果不斷顯現,三位網路安全專家對您需要了解的內容進行了權衡。
什麼是 Log4j?
Log4j 是由 Apache Software Foundation 開發的開源日誌記錄工具。 開源軟體與其源代碼一起分發,這意味著它的設計可以公開訪問,軟體開發人員可以根據需要修改或調整代碼。
「如果我是一名開發人員並且我正在編寫一些 Web 應用程序,並且我需要一個能夠記錄用戶輸入的軟體——無論是出於可用性原因還是記錄錯誤——最簡單的方法就是獲取一個開源庫就像已經存在的 Log4j,」數字安全公司 Red Canary 的高級信息安全專家 Brian Donohue 說。
中國電子商務公司阿里巴巴安全團隊的一名員工於 11 月 21 日首次向 Apache 報告了 Log4j 庫中的一個漏洞。 當 Apache 公開宣布該漏洞(現在稱為 Log4Shell)時,他們在通用漏洞評分系統(Common Vulnerability Scoring System)量表上給出了 10.0(可能的最高分)的評級,這是一種評估安全漏洞嚴重性的標準方法。
為什麼 Log4Shell 如此嚴重?
應用安全公司 Onapsis 的首席產品官 Sadik Al-Abdulla 表示,10.0 評級是 Log4Shell 兩個關鍵方面的結果:它是一個可遠程利用的漏洞,它允許代碼執行。
「這意味著攻擊者可以遠程攻擊你——他們不必已經在系統上存在,」Al-Abdulla 說。 「如果他們可以與易受攻擊的系統通信,他們就可以攻擊它。 「遠程代碼執行」部分意味著它們可以導致代碼執行,這意味著當他們可以接管系統時,他們可以做任何他們想做的事情,」他補充道。
正因為如此,Al-Abdulla 說,Onapsis 的威脅實驗室已經看到攻擊者試圖使用 Log4Shell 來執行各種任務,包括安裝加密貨幣礦工和竊取公司整個網路基礎設施的密鑰。
Donohue 說,其他三個因素導致了 Log4Shell 的破壞性影響。 首先,因為開源實用程序在數字世界中非常普遍,所以幾乎所有軟體中都可以找到像 Log4j 這樣的庫,從大型網路基礎設施到 ATM 機和加油站。
其次,Log4Shell 不需要攻擊者具備很多技術技能。 最後,Log4j 是一個依賴項,這意味著它是更廣泛的軟體的一個組件,而不是一個獨立的應用程序。
「您可能正在使用某個供應商製作的 Web 應用程序框架,而該供應商可能正在使用 Log4j。 所以你不一定總是知道它在哪裡,」多諾霍說。
公司和個人能做什麼?
網路安全和基礎設施安全局發布了一個開源掃描程序,公司可以使用它來識別其軟體庫中的 Log4j 實例,以及處理漏洞的正式指南。
Al-Abdulla 表示,組織仍需要積極主動地全面測試其安全響應流程。
「在公告發布的一周內已經全面測試了修復程序的供應商與仍未發布它們的供應商之間存在很大差異,」他說。
網路安全公司 KnowBe4 的首席信息官 Colin Murphy 表示,在減輕 Log4j 對個人層面的影響方面,沒有什麼可以做的。 他說,最重要的是,Log4Shell 是安全意識的警示故事。
「我不認為個人可以真正採用的技術解決方案,但他們當然可以考慮他們的生活是如何相互關聯的。 如果您在智能家居中,那麼您家周圍的所有這些不同的設備都是相互連接的。 在這一點上,所有這些東西都是具有這樣一個漏洞的切入點,」墨菲說。
Log4Shell 將如何影響未來的數字安全世界?
Apache 在發現該漏洞後迅速發布了 Log4j 的更新。 但 Murphy、Al-Abdulla 和 Donohue 一致認為 Log4j 的漏洞將會有「長尾」。
Al-Abdulla 說,由於 Log4j 是一個依賴項,因此識別、修復和測試所有使用它的地方可能要複雜得多。
對他來說,像 Log4Shell 這樣的重大漏洞將為那些沒有對網路安全 CIBR 進行前瞻性思考的公司敲響警鐘,-0.12%。
「每次我們發生這樣的事件,都會迫使倖存者更加成熟。 每家可能不考慮安全開發生命周期的公司都可能強迫自己重新評估他們是否有很多挫折,甚至試圖在自己的產品中找到 Log4j,」Al-Abdulla 說。