起因

Apache Log4j 是最受歡迎的 Java 日志庫，其 GitHub 項(xiàng)目的下載量超過 400，000 次。它獲得了全球眾多公司的廣泛使用，支持在大量熱門應(yīng)用中進(jìn)行日志記錄。然而，在2021年12 月 9 日，Apache 日志包 Log4j 2 版本 2．14．1 及更低版本 （CVE－2021－44228） 報(bào)告了一個(gè)危險(xiǎn)的遠(yuǎn)程代碼執(zhí)行 （RCE） 漏洞。攻擊者可以輕松通過漏洞控制基于 Java 的 Web 服務(wù)器并發(fā)起遠(yuǎn)程代碼執(zhí)行攻擊。

自上周五以來，由該漏洞導(dǎo)致的威脅形勢(shì)日趨緊張，原始漏洞的新變體正快速涌現(xiàn) — 在不到 24 小時(shí)內(nèi)出現(xiàn)了超過 60 個(gè)變種。例如，它可通過 HTTP 或 HTTPS（瀏覽的加密版本）被利用。該漏洞為攻擊者提供了繞過全新保護(hù)措施的多種選擇。這意味著一層保護(hù)遠(yuǎn)遠(yuǎn)不夠，只有多層安全防護(hù)才可提供彈性保護(hù)。

Check Point 的 Infinity 平臺(tái)是唯一為客戶提供前瞻性保護(hù)的安全平臺(tái)，可有效防范最近出現(xiàn)的 Log4j 漏洞 （Log4Shell） 的侵害。借助上下文 AI，該平臺(tái)能夠精準(zhǔn)防范最復(fù)雜的初始攻擊，而不會(huì)產(chǎn)生誤報(bào)。隨著應(yīng)用和威脅形勢(shì)的不斷演變和擴(kuò)展，客戶 Web 應(yīng)用仍將保持安全無虞，因?yàn)榘踩�保護(hù)自動(dòng)更新，而無需采取人工干預(yù)或部署規(guī)則集。

用戶需要采取哪些措施來保障安全？

Check Point 現(xiàn)已發(fā)布基于 Threat Cloud 的全新 Quantum 網(wǎng)關(guān)保護(hù)，旨在抵御此類攻擊。借助該解決方案，用戶數(shù)字資產(chǎn)將獲得持久保護(hù)。如果用戶的 Quantum 網(wǎng)關(guān)通過自動(dòng)新防護(hù)技術(shù)進(jìn)行更新，則可以直接享受可靠保護(hù)。Check Point強(qiáng)烈建議 IT 和安全團(tuán)隊(duì)立即對(duì)此采取補(bǔ)救措施。

Check Point 如何應(yīng)對(duì) Log4j 漏洞的影響？

作為全球互聯(lián)網(wǎng)安全的長(zhǎng)期領(lǐng)導(dǎo)廠商，Check Point公司已經(jīng)縝密驗(yàn)證了其Infinity 架構(gòu)不受 Log4j 的影響。同時(shí)，Check Point Research 正全面調(diào)查 Log4j 漏洞的來源以及可能的發(fā)展方向。Check Point Research （CPR） 能夠密切監(jiān)控大規(guī)模掃描和漏洞利用嘗試。盡管在本文撰寫時(shí)攻擊活動(dòng)僅限于加密貨幣挖礦攻擊者運(yùn)行掃描程序，但這并不意味著更高級(jí)的攻擊者在未來不會(huì)有所動(dòng)作。Log4j 漏洞顯然是近年來互聯(lián)網(wǎng)上最嚴(yán)重的漏洞之一，是真正的網(wǎng)絡(luò)威脅 – 能帶來快速蔓延的毀滅性攻擊。

CVE－2021－44228 背后的數(shù)字

該 CVE 進(jìn)入了網(wǎng)絡(luò)威脅信息庫，其中常見軟件和服務(wù)中的主要漏洞影響了眾多組織與機(jī)構(gòu)。自上周五以來，Check Point 已發(fā)現(xiàn)超過 1，800，000 次攻擊嘗試?yán)��?Log4j 漏洞，致使 Check Point 在全球范圍內(nèi)跟蹤的幾乎一半的公司網(wǎng)絡(luò)成為了此次攻擊活動(dòng)的目標(biāo)。2021 年 12 月 14 日，我們介紹了此漏洞引發(fā)對(duì) 5 個(gè)國家／地區(qū)的加密貨幣挖礦集團(tuán)的現(xiàn)實(shí)攻擊。2021 年 12 月 15 日，Check Point發(fā)現(xiàn)一個(gè)名為“Charming Kitten”或 APT 35 的已知伊朗黑客組織在過去 24 小時(shí)內(nèi)企圖利用 Log4j 漏洞攻擊以色列的 7 個(gè)來自政府和業(yè)務(wù)部門的目標(biāo)。同時(shí)，在過去的一周中，Check Point通過地理位置與行業(yè)分布分析了該漏洞對(duì)組織與機(jī)構(gòu)影響的百分比。可以發(fā)現(xiàn)，全球范圍內(nèi)被該漏洞影響的機(jī)構(gòu)已經(jīng)高達(dá)46．3％； 部分重點(diǎn)行業(yè)中有過半企業(yè)都受到了不同程度的攻擊。

Check Point 如何幫助用戶？

Check Point 軟件技術(shù)公司第一時(shí)間發(fā)布了針對(duì) Apache Log4j 遠(yuǎn)程代碼執(zhí)行 （CVE－2021－44228） 漏洞的 Quantum 網(wǎng)關(guān)保護(hù) 并強(qiáng)烈建議所有用戶確保將防護(hù)模式設(shè)置為預(yù)防，以避免數(shù)字資產(chǎn)遭到利用。此外，Apache 還提供了一個(gè)補(bǔ)丁 （Log4j 2．15．0） 來規(guī)避該漏洞的影響。用戶可以相應(yīng)地更新其版本。

如果無法更新，那么根據(jù) Apache 建議，也可采取其他補(bǔ)救措施：

Log4j 2．10 或更高版本：添加 －Dlog4j．formatMsgNoLookups＝true 作為命令行選項(xiàng)，或者將 log4j．formatMsgNoLookups＝true 添加至類路徑上的 log4j2．component．properties 文件，以防止在日志事件消息中進(jìn)行查找。

Log4j 2．7 或更高版本：在模式布局配置中指定 ％m｛nolookups｝，以阻止在日志事件消息中進(jìn)行查找。

考慮攔截從易受攻擊的服務(wù)器到互聯(lián)網(wǎng)的 LDAP 和 RMI 出站流量。

從 log4j－core jar 中刪除 JndiLookup 和 JndiManager 類代碼。

請(qǐng)注意，刪除 JndiManager 會(huì)導(dǎo)致 JndiContextSelector 和 JMSAppender 失效。

CloudGuard AppSec 提供了零日保護(hù)，支持在預(yù)防模式下使用 Check Point Web 應(yīng)用最佳實(shí)踐防止該漏洞利用。

此外，使用 CloudGuard AppSec IPS 的所有用戶還可獲得帶有相關(guān) CVE 編號(hào)的自動(dòng)簽名更新。Check Point用于應(yīng)用保護(hù)的新一代 WAF 使用基于 AI 的防護(hù)技術(shù)，能夠確保用戶所有 Web 應(yīng)用均得到自動(dòng)保護(hù)，而無需部署、主動(dòng)更新或安裝任何組件。

最后，Check Point Reasearch將繼續(xù)更新這一重大安全事件的任何最新進(jìn)展情況。Check Point的技術(shù)支持團(tuán)隊(duì)也將為用戶提供 24／7 全天候支持，確保用戶的網(wǎng)絡(luò)始終安全無虞。