跳到主要内容
查看所有产品
计算
存储
数据库
网络
开发人员工具
交付
安全性
服务
行业
定价
社区
与我们合作
探索博客
类别
13
  1. 云概述
    50
  2. 计算
    15
  3. 容器(Kubernetes,Docker)。
    33
  4. 数据库
    20
  5. 开发人员工具
    37
  6. Linode
    258
  7. Linux
    69
  8. 多云
    4
  9. 网络
    32
  10. 开放源代码
    6
  11. 合作伙伴网络
    7
  12. 安全性
    60
  13. 存储
    22
作者 52
  1. Austin Gil 1
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Bradley LaBoon 1
  9. Blair Lyon 11
  10. Billy Thompson 10
  11. Christopher Aker 176
  12. Cassie Bubnis 1
  13. Daniele Polencic 4
  14. David Monschein 2
  15. David Rodriguez 1
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Justin Cobbett 16
  23. Jon Frederickson 1
  24. Jonathan Hill 2
  25. Justin Mitchel 4
  26. James Steel 5
  27. Jamie Sherkness 8
  28. Linode 52
  29. Linode Events 8
  30. The Linode Security Team 122
  31. The Linode Network & Security Teams 1
  32. LINQ 1
  33. Leslie Salazar 1
  34. Michelle Berg 1
  35. Mitch Donaberger 1
  36. Mike Fischler 1
  37. Mike Maney 10
  38. Maddie Presland 18
  39. Mike Quatrani 4
  40. Nathan Melehan 2
  41. Nigel Poulton 1
  42. Prasoon Pushkar 1
  43. Rick Myers 7
  44. Richard Tubb 1
  45. Sal Carrasco 1
  46. Salman Iqbal 1
  47. Shawn Michels 1
  48. Linode Support 13
  49. Tom Asaro 18
  50. Travis Baka 1
  51. Talia Nassi 8
  52. Yuri Goldfeld 1
博客安全问题Linode安全摘要 2021年12月19-26日

2021年12月19日至26日Linode安全摘要

Linode
The Linode Security Team
2021年12月23日
Linode安全摘要

本周,我们将讨论Log4j2漏洞的演变以及一些有用的缓解措施,你可以用来保护它们。 

脆弱性的演变

"Log4Shell "漏洞始于发现Log4j2在受影响系统上记录事件时处理查找的方式存在一个关键的远程代码执行漏洞。这个关键漏洞(CVE-2021-44228)在CVSS上的得分是10分。Apache ,说Log4j 1.x版本不太可能受到这一发现的影响,因为需要特意启用JNDI。Apache ,发布了2.15.0,以解决这一漏洞。

在Apache ,为无法将Log4j2升级到2.15.0版本的用户发布了缓解方法后,由于这个开源项目在公众眼中得到了关注,又发现了一个漏洞。这个漏洞(CVE-2021-45046)最初是一个DOS漏洞,得分3.7分(满分10分),但后来也被宣布为关键代码执行漏洞,在CVSS上的得分被提高到9分(满分10分)。Apache ,表示1.x版本没有漏洞,建议Log4j2用户升级到2.16.0版本以解决这第二个问题。对于无法升级的用户,推荐使用JNDI Lookup类的移除方法。

然后是第三个漏洞。虽然(截至12月22日)在Log4j2 2.16.0版本的安全页面中没有提到远程代码执行,但这个漏洞(CVE-2021-45105)在CVSS上的评分是7.5分(满分10分),它只能对脆弱的系统造成拒绝服务攻击。Apache 发布了2.17.0版本,建议其用户升级以解决这个问题。他们还为不能升级的用户分享了新的缓解措施。

值得注意的是,这些漏洞在发现和缓解阶段被利用或试图被利用。根据360 Netlab博客,多个恶意软件家族试图利用这些漏洞进行传播。有人看到成功利用该漏洞的恶意行为者植入硬币矿工安装勒索软件。这些报告强调了尽快缓解这些漏洞的重要性。

官方缓解方法

根据Log4j2的安全页面,将该组件升级到2.17可以缓解这三个已知的安全问题。对于不能升级他们的Log4j2的人,Apache ,建议从他们有漏洞的log4j2-core-*.jar文件中删除JNDI Lookup类。然而,这并不足以缓解最近发现的拒绝服务漏洞(CVE-2021-45105)。你可以通过改变日志配置中的PatternLayout来缓解这个DOS漏洞。你可以阅读本段开头链接的Apache's Log4j2安全页面,了解这些缓解方法的细节。

寻找易受攻击的组件

如果你要扫描有漏洞的组件,你可以使用jfrog制作的Log4j-Tools。在寻找代码库上有漏洞的Log4j JNDI查询调用时,这个资源库中的工具非常有用,因为你不确定某段代码是否调用Log4j来实现功能。它还可以帮助你确定本地文件的漏洞状态。你也可以查看思科CX安全实验室的Log4j使用和利用规则 ,用YARA规则扫描你的本地文件,以确定一个文件是否包含有漏洞的Java类;虽然这种方法可以提供更快的结果,但它可能会导致更多的误报;不过这些规则也可以帮助你定位Log4j的依赖组件。 

mubix的Log4Shell Hashes库包含了易受初始关键RCE漏洞(CVE-2021-44228)影响的log4j2-core文件的MD5、SHA1和SHA256散列值。最后,你可以查看CISA的易受攻击软件数据库(只适用于CVE-2021-44228),以获得按供应商划分的易受攻击软件的综合列表。

保护免受攻击

如果你不能升级你的Log4j2安装,如果你在你的服务器上使用Fail2BanFail2Ban针对Log4Shell的gex由Jay Gooby 可能会帮助你阻止Log4Shell的尝试。如果你使用CloudFlare,你可以使用他们的WAF规则来防止这些攻击。然而,根据CISA的建议,我们鼓励你升级到Log4j 2.17.0或立即应用推荐的缓解措施。参考供应商关于其他使用Log4j2的软件的声明也很重要,因为有些软件可能会捆绑有漏洞的Log4j版本,可能需要注意。

寻找IOCs和扫描

如果你在日志中寻找破坏的指标,可能很难确定是否有利用这个漏洞的尝试,主要是因为有许多不同的有效载荷可以被发送,以利用已知的JNDI攻击矢量。攻击者可以对有效载荷中的字符串进行编码,混淆它们,或者在寻找简单的有效载荷时使其难以捕捉。这就是back2root的Log4Shell-Rex可能派上用场的地方。Log4Shell-Rex是一个正则表达式,用来匹配用不同方法编码的可能的恶意有效载荷。你可以在你的本地日志文件中使用它,或者在你的SIEM中使用它来匹配结果。然而,应该注意的是,用这个正则表达式(任何正则表达式)搜索可能会产生假阳性或假阴性。

你也可以查看FullHunt公司的Log4j-scan工具,它可以帮助发现和摸索RCE漏洞(CVE-2021-44228),你也可以用这个工具来测试WAF绕过,以获得更全面的扫描结果。

我们希望通过在这些安全摘要中分享有用的信息来帮助我们的客户。像往常一样,欢迎在下面留下评论,分享你的想法。

你可能也喜欢...

史蒂夫-温特菲尔德(Steve Winterfeld)主讲的《如何保护自己免受勒索软件攻击》(How to Protect Yourself from Ransomware Attacks),特写图片。

如何防范勒索软件攻击 | Akamai的Steve Winterfeld

在这段视频中,Akamai的咨询CISO Steve Winterfeld就公司如何防范勒索软件攻击分享了建议。
安全性
Wazuh 是一家网络安全公司,其特色是 "与哈利一起编码"。

Wazuh 是一家网络安全公司 | 开源安全专家Monitoring & Response

@CodeWithHarry 报道了用于收集和分析安全数据的开源安全平台 Wazuh。
安全性
服务器安全入门
塔莉娅-纳西

服务器安全简介

2023 年 10 月 30 日
作者:塔莉娅-纳西
服务器安全对于有效的云环境至关重要。在此了解相关信息。
安全性

注释

留下回复

您的电子邮件地址将不会被公布。 必须填写的字段被标记为*