Akamai 针对 Log4j 的漏洞缓解建议
执行摘要
近期,开源日志记录工具 Log4j 被曝出一个高危远程代码执行漏洞,其 CVE ID 为CVE-2021-44228, Log4j广泛用于大量应用程序,包括许多大型企业使用的应用程序。
据悉,只要系统中运行的某些应用程序用到了 Log4j 日志库,恶意攻击者就可以利用此漏洞,通过操纵日志消息的方式从这些系统中窃取信息,并在这些系统上执行恶意代码。目前已有报告称, 一些服务器在执行全网扫描 ,试图找出存在漏洞的服务器。我们的威胁情报团队也注意到,利用此漏洞的攻击企图数目惊人。如今许多广为人知的框架和大量 Java 应用程序都整合了 Log4j 库,这使得该漏洞的波及范围甚广。
Akamai 广泛的安全产品套件(包括应用程序和 API 安全解决方案、Secure Internet Access Enterprise 以及 Guardicore Segmentation)已经做好充分准备,将采取不同方式帮助客户应对这一漏洞。强烈建议各界企业将 Log4j 更新到最新版本 2.16.0。考虑到此漏洞的影响急速扩大,Akamai 团队将继续开发和部署抵御措施,全力支持我们的客户。
Log4j 漏洞是什么?
2021 年 12 月 9 日,Log4j 日志库被曝出重大漏洞 (CVE-2021-44228)。此漏洞涉及到绕过授权机制的远程代码执行和数据窃取,由于该库的开源日志记录功能应用十分广泛,此漏洞引发了广泛关注。如此广泛的应用加上漏洞利用的轻易程度,使得此漏洞产生了极大的影响。目前攻击者群体对于这一漏洞的利用十分活跃,世界各地的安全团队也在全力研究对策并且积极予以缓解。
一旦设备遭遇入侵,攻击者就能窃取数据,并且远程提供由 Log4j 执行的软件。这让攻击者能够在遭受入侵的服务器内运行任意代码、公开信息与机密,并且将此类服务器用作跳板发起其他攻击,有可能会波及在网络内部受到严格保护、并未直接接入互联网的设备。
Java 领域的开发人员广泛使用 Log4j 来方便地在日志中记录错误和调试信息。因此,基于 Java 的软件产品供应商可能存在极高的风险。即便一款应用程序未直接使用 Log4j,许多常用工具和框架内部也会用到 Log4j,因此可能会在应用程序堆栈内引入这一漏洞。
Log4j 漏洞的严重程度如何?
尽管 Akamai 最初观测到 Log4j 漏洞利用企图的时间是 12 月 9 日,但我们也发现有越来越多的证据表明,这一漏洞已被攻击者利用数月之久。自漏洞公布之后,我们已经看到了多种利用此漏洞发起的攻击的变体,持续攻击流量速率达到大约每小时 200 万次攻击尝试。攻击变体的演进速度堪称前所未见。
在迄今为止观察到的攻击中,逾半数(大约 57%)的攻击发起者早先已经在 Akamai 威胁情报数据库中被分类为恶意攻击者。考虑到未修补此漏洞的系统为数众多,我们预计在后续几个月中,依然会不断看到相关的攻击企图。Akamai 的安全研究与事件响应团队将继续利用我们特有的监测能力与广泛情报,监测并保护我们的基础架构与客户。
在任何漏洞出现期间,最重要的行动都是修补受到感染的系统,但安全研究人员理解,这需要一定的时间。在很多情况下,企业可能还不清楚具体有哪些系统存在漏洞。因此有必要部署额外的抵御方案,以尽可能缩小攻击面。
为提供相关协助,Akamai 提供了一些建议。目前,我们所观察到的 Log4j 相关攻击流量中,最大部分的比例来自 Web 应用程序。因此在修补漏洞后,企业可以采取的最有效的举措就是利用 Akamai Web 应用程序和 API 保护产品。请继续阅读以了解具体操作方法,以及随着攻击媒介的发展演变,您应该在企业内采取哪些措施。
使用 Akamai 应用程序和 API 保护套件抵御 Log4j 滥用
Akamai 会不断更新 Web 应用程序防火墙 (WAF) 规则,以抵御这一漏洞及其诸多变体。这包括更新 Akamai Kona 规则集及 自适应安全引擎内的规则 3000014。针对使用自动攻击组引擎的客户,我们已更新了命令注入组。对于使用以下保护引擎和对应版本的客户,只要客户目前在 DENY 模式下激活了这些规则或攻击组,即可获得自动内嵌保护:
Kona 规则集 - 2019 年 10 月 29 日及后续发布的任何版本
自动攻击组 - 任意版本
自适应安全引擎 - 任意版本
许多服务器可能已经遭到入侵,尤其是处于高风险环境内的服务器,例如可直接访问互联网的环境。要辨别入侵迹象,可以运行以下命令来显示漏洞利用企图:
sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns)://'/var/log
如需进一步了解 Akamai Web 应用程序和 API 保护产品, 请阅读更多相关信息 或 联系我们。
在当前这个阶段,WAF 保护或许能十分有效地保护 Web 服务器,但企业必须全面考虑自身环境,避免攻击者通过其他攻击途径入侵。就此而言,我们推荐使用微分段产品,从而了解可能存在的漏洞,并且降低风险、缩小漏洞影响范围。
使用 Secure Internet Access Enterprise 检测 Log4j 滥用
Akamai 威胁研究员已经对客户 DNS、代理和 sinkhole 数据进行了审核,确定是否有异常行为涉及到攻击者试图利用尚未得到控制的 Log4j 漏洞。在 DNS 数据中,我们看到一些针对包含“jndi:ldap”的字符串的域发起的 DNS 查询,这让我们颇感意外。这些 DNS 查询是无效的,包含无效的域名字符,因此无法正确得到解析。此外,我们还观察到一些传输到已知恶意域的流量重定向到 sinkhole 服务器;这些恶意域托管着用于滥用存在漏洞的服务器的恶意 Java 代码。所有这一切都表明,客户网络内可能存在滥用。
使用 Akamai Guardicore Segmentation 抵御 Log4j 滥用
使用 Akamai Guardicore Segmentation 的客户可以利用这款产品的进程内监测能力,确定自身环境内存在漏洞的应用程序与安全风险。随后可以借助这样的见解精准控制网络流量,阻止对存在漏洞的系统发起的攻击,同时保证不中断正常业务运营。
辨别受到威胁的进程:确定存在风险的 Java 进程和 Log4j 滥用
为抵御潜在的 Log4j 滥用,必要的第一步举措就是确定有可能被攻击利用的进程。这要求在进程级别上深度洞悉网络流量,Akamai Guardicore Segmentation 能够满足这方面的需求。通过精准监测互联网连接和流量,我们就能清晰辨明需要采取哪些抵御措施,同时避免中断业务运营。
阻止攻击:阻止恶意 IoC 和攻击媒介
在确定存在漏洞的应用程序之后,还必须具备采取措施的能力。在当下尚且没有万全修补方案的情况下,Akamai Guardicore Segmentation 提供丰富的选项,可发出攻击警报、阻止攻击并防范攻击。至关重要的一点是,必须具备一种能够精细、准确地控制网络通信和流量的解决方案,从而精准阻止或隔离攻击媒介,同时保证对正常业务运作功能的干扰最小,甚至无干扰。其中包含:
使用 Threat Intelligence Firewall (TIFW) 和 DNS Security 自动阻止 IoC
全面隔离遭到入侵的服务器
阻止涉及到存在漏洞的资产的入站和出站流量
阻止 Java 应用程序到互联网的外发流量
此外, Guardicore Hunt 客户还可获得专业安全研究员团队的支持,在他们的帮助下持续监控并研究其环境。一旦发现安全风险,这些客户就能立即收到警报和建议的缓解措施。
如果您想进一步了解 Akamai Guardicore Segmentation, 请阅读更多相关信息 或 联系我们。
结论
Akamai 将继续严密监控和研究 Log4j 漏洞,并积极分享我们的相关见解、及时更新我们的保护方案和功能。
