阿帕奇安全漏洞警示:原因、危害及应对

时间:2021-12-20来源:栏目:互联网

12月17日,工信部发布关于Apache Log4j2组件存在重大安全漏洞风险的预警,提醒相关单位和公众密切关注Apache Log4j2组件漏洞补丁发布情况,检查自身相关系统中Apache Log4j2组...

12月17日,工信部发布关于Apache Log4j2组件存在重大安全漏洞风险的预警,提醒相关单位和公众密切关注Apache Log4j2组件漏洞补丁发布情况,检查自身相关系统中Apache Log4j2组件的使用情况,及时升级组件版本,降低网络安全风险。

据悉,Apache)Log4j2组件是一个基于Java语言的开源日志框架,由于其良好的性能和较低的使用门槛,在业务系统开发中得到了广泛的应用。近日,阿里巴巴云计算有限公司发现,Apache Log4j2组件存在远程代码执行漏洞(该漏洞在国外被命名为Log4Shell),可能导致设备远程控制,从而导致敏感信息被窃取、设备服务中断等严重危害,并向Apache软件基金会通报该漏洞。基金会将该漏洞列为最严重的漏洞。

003010记者从网络安全公司启信安了解到,目前,Mirai未来组合、Muhstik等众多僵尸网络家族,以及Minerd、HSMiner、HideShadowMiner、BlueHero等众多挖掘病毒家族都在利用这个漏洞进行传播。根据数据平台LunaSec的说法,有证据表明Steam(游戏平台)和苹果的云服务都受到了影响。安全公司帕洛阿尔托网络指出,推特和亚马逊也遭到了攻击。这一高风险漏洞带来的安全风险席卷全球,奥地利、新西兰、美国、德国、中国等国家的相关机构相继发布安全预警。

漏洞严重性被列为最高级别。

一般来说,在评估漏洞的危害程度时,应该考虑以下三个因素:攻击者利用漏洞的难度、漏洞给目标机器带来的危害以及漏洞的影响范围。CCID智库网络安全研究院助理研究院王伟杰告诉记者《中国电子报》:“Apache漏洞被认为是近年来最大的高风险计算机漏洞。首先,攻击者可以很容易地以JNDI(Java命名和目录接口)注入攻击的形式远程执行任何代码,非常简单。其次,黑客可以利用该漏洞直接获取目标机器的最高权限(根权限),导致设备被远程控制,进而导致窃取敏感信息、设备服务中断等严重危害。此外,该漏洞的影响范围极其广泛,影响了全球数亿台网络设备。”

据了解,Apache工具几乎存在于所有的Java(Computer Programming Language,计算机编程语言)应用程序中,全球有数亿台设备安装了Java程序,因此几乎所有行业都会受到此漏洞的影响。王伟杰认为,阿帕奇漏洞对互联网行业产生了严重影响。该漏洞不仅带来黑客或经济投资补救漏洞造成的资产损失,还带来声誉危机。另一位专家表示,即使普通个人用户无法直接访问漏洞,他们日常使用的网站服务和软件系统也会面临不同程度的安全风险。

根据国内外安全厂商披露的名单,检测到的利用漏洞的攻击最多的是挖掘木马团伙,然后是ransomware,以及针对高价值目标的APT攻击(高级持久威胁)。很多业内人士认为,如果这个漏洞得不到有效控制,其危害程度将堪比2017年的“永恒之蓝”(“永恒之蓝”是黑客组织Shadow Brokers公布的网络攻击工具,利用Windows系统的SMB漏洞可以获得系统的最高权限。由“永恒之蓝”改造而来的wannacry ransomware,在包括美国、英国、俄罗斯和中国在内的至少150个国家吸引了30万用户,并影响了许多重要基础设施(包括政府、银行、电力系统、通信系统、能源企业和机场)。

脆弱性的影响将持续很长时间。

腾讯安全专家李铁军在接受《中国电子报》记者采访时表示:“漏洞之所以有如此广泛的影响,主要是因为Apache log4j组件涉及面广,大量的网络业务系统都建在上面,就像一栋大楼一样。如果基础有问题,可能会影响大局。同时,也是官方因为覆盖面广,修复漏洞需要很多时间,组件暴露了其他关联的高风险漏洞,所以这个漏洞的影响会持续很长时间。”

Archie Log4j2组件本身是一个开源项目。开源软件提高了开发效率,加速了互联网应用的普及,但也带来了更多的安全风险。“行业之前对开源组件的漏洞重视不够,需要加强审核。”李铁军指出。

公开数据显示,84%的攻击发生在应用程序中,其中70%源自各种开源软件。据国家计算机网络应急中心统计,开源软件漏洞数量逐年增加。

传统的漏洞扫描引擎只根据软件名称和版本号来判断是否存在漏洞。事实上,开源软件通常同时并行有多个版本分支。比如GitLab(仓库管理系统开源项目)有社区版和企业版,Jenkins(开源持续集成工具)有每周更新版和长期支持版,同一漏洞在不同版本分支的实际受影响状态也不同。研究人员在实际验证中发现,大部分镜像都有漏洞,有的镜像有上百个漏洞。由此可见,准确识别漏洞并有针对性地进行修复并不容易。

李铁军认为:“使用开源组件时,需要特别注意版本升级,防止供应链攻击。官方组件本身可能存在漏洞,官方仓库也可能被不法分子上传为‘已处理’版本。通常在这两种情况下,非安全专家很难发现,需要依靠安全厂商的服务来检测风险。”

“各机构的安全团队需要克服许多挑战来修复此漏洞,包括确定所有暴露资产的范围以及为无法修复的系统寻找变通方法。此外,攻击者不断探索新的利用模式,该漏洞有三种变体。因此,阿帕奇漏洞的影响可能会持续几十年。”王伟杰分析道。

国内多家企业发布安全方案

遭遇阿帕奇漏洞后,应该采用哪些措施降低安全风险?王伟洁指出,一是需尽快将使用了阿帕奇工具的程序更新至官方最新安全版本,不能及时升级的用户需根据官方提示手工修改阿帕奇和Java参数配置;二是使用杀毒软件对攻击流量进行拦截。三是禁止所有不必要的外连数据。奇安信安全专家提醒称, Log4j作为日志组件,位于软件供应关系的较底层。因此供应链对此漏洞的放大效应将逐渐显现,相关厂商、用户需密切关注其威胁发展情况。

李铁军指出:“尤其政企机构需要尽快在网络各个节点和应用环境分级部署完整的解决方案,对服务器、终端、网络流量等各层面进行漏洞检测和防御,消除安全短板,排除安全死角,防止黑客利用漏洞对网络进行攻击破坏行动。”另外,还有专家建议,广大普通用户也应尽快对个人电脑进行加固。

令人欣慰的是,针对此次漏洞,国内多家安全企业已经采取措施,积极提供相关安全解决方案。阿里云第一时间开始修复自家的相关受影响系统,并发布了安全公告。奇安信也迅速推出了“一揽子”Log4j2漏洞防护方案,从底层代码、网络传输到上层应用,全面覆盖漏洞的发现、监测、检测和响应处置等全生命周期。腾讯安全将该漏洞收录至腾讯安全漏洞特征库中,CODING 制品扫描基于该漏洞特征库,对引用了受影响版本的 Log4j 2 制品进行了精准定位,并给出修复建议,同时禁止下载含有该安全漏洞的制品,最大限度减少漏洞蔓延。华为、新华三、安恒信息、绿盟科技、360等一众厂商也相继发布安全方案。

网络安全仍需警钟长鸣

实际上,阿帕奇漏洞的出现并非偶然。根据Gartner的相关统计,到 2025 年,30%的关键信息基础设施组织将遇到安全漏洞。安全漏洞总会出现,无法根本上杜绝。在被发现之前,谁也不能推测其存在,也无法预料其后果。李铁军建议称:“对于一般客户而言,需要特别关注相关威胁情报信息;企业最好有专业安全运维队伍来做保障;政企机构需要建设具有弹性的完整安全解决方案,去实时检测、响应、处置各类安全威胁;运维人员更要高度关注高危漏洞信息,及时修补漏洞或采取相应的缓解措施控制风险。”

防患于未然,做好前期预防工作非常重要。王伟洁认为:“一方面,企业需要提高安全意识,未雨绸缪,定期全面检查企业办公系统和应用,发现该漏洞及相关变体后及时修复,并且应该主动建立、严格实施完整的数据备份方案;另一方面,普通用户需培养良好的网络使用习惯,包括及时更新防病毒产品、定期进行病毒扫描等。”

此外,国内现有大量的系统、软件都是基于开源架构 (不仅仅是阿帕奇),此次安全事件也为我们敲响了警钟。业内资深专家指出,未来在基于开源架构打造软件、构建系统的同时,应该如何更好地保障系统安全、防范和控制软件风险,如何更好地利用和使用开源架构,这些问题需要产业链上的各参与方深入思考。

1.本站部分来源于互联网用户自主整合上传,如有侵权,请联系我们删除;

2.文章内容并不代表本站的观点或立场,如有关于文章内容,版权或其它问题请联系删除;

3.本文地址:https://www.jiatu888.com/hlw/86748.html

最新文章

网站介绍

本站部分内容收集于互联网,如有侵犯贵司(个人)版权,请联系本站删除。

Copyright@2018-2021 www.jiatu888.com 嘉图网 All Rights Reserved 粤ICP备20051635号 网站地图 tag列表

嘉图网