美国国土安全部：Log4j 漏洞的影响将持续十年或更久

DHS 网络安全审查委员会发布的第一份报告《2021年12月Log4j 漏洞事件审查报告》，详述了去年在Java开源日志库中发现的多个漏洞。对于网络犯罪分子而言，由于Log4j 的使用如此广泛（包括用于云服务和企业应用中），这些漏洞就像是福利。正因如此，恶意人员不久就开始利用这些权限从事各种非法活动如安装密币挖矿机、窃取凭据和数据以及部署勒索软件。

幸运的是，可能也令人惊讶的是，该网络审查委员会“并未发现针对关键基础设施系统发动的重大 Log4j 攻击”。不过，一些行业安全专业人员对报告的此番言论仍持怀疑态度。

能源部前网络安全负责人、NetRise 公司的现任首席执行官 Thomas Pace 指出，“工控运营人员很少知道自己XIoT设备上运行的软件是什么，更不用说是否存在可遭利用的 Log4j 实例。”NetRise 自称为“扩展的IoT”安全企业。Pace继续表示，“仅仅因为尚未检测到这些攻击并不意味着攻击不存在。我们都知道的事实是，威胁行动者正在利用各个行业中的已知漏洞。关键基础设施行业也不例外。”

该报告还表示，“一般而言”，“鉴于该漏洞的严重程度”，网络犯罪分子“在比很多专家预测的更底层”利用这些安全漏洞，这种评估对于Log4j 漏洞而言是公平的。

话虽如此，组织机构仍然会花费很多钱和人力资源。首先他们要识别出自身产品中对Log4j 的使用，其次要识别出供应商软件的使用情况，之后缓解该风险。报告指出，某联邦政府部门在Log4j 响应行动中花费3.3万个小时保护自身网络的安全。

报告指出，“这些成本通常要持续数周数月的时间，延误其它任务关键工作，包括响应其它漏洞等。”此外，处理Log4j 也增加了网络安全专业人员的负担，而这种压力和负担甚至在这些漏洞出现之前就已经是公认问题。

报告提醒称，遗憾的是，Log4j 带来的风险将在可预见的未来，持续感染企业和联邦机构。报告指出，“Log4j 事件并未结束。审查委员会评估认为Log4j 是一个‘特有的漏洞’，易受攻击的 Log4j 实例在以后的很多年将仍然停留在系统中，可能持续十年或更久的时间。重大风险仍然存在。”换句话说：安全团队可能要在2032年才能期待睡个好觉。

不过，报告提供了19条建议，便于组织机构解决正在发生的 Log4j 风险。其中一些建议听起来是常识。企业应当积极监控并升级易受攻击的版本，并将任何Log4j 利用报告给CISA。

报告提到，还需通过自动化工具和扫描工具等，实时识别易受攻击的系统并维护IT资产和应用程序的完整清单。当然，软件依赖关系和供应链攻击如Log4j 事件或更早的 SolarWinds 和 Kaseya攻击事件使维护物料清单成为一项艰巨的任务。

软件供应链安全公司 Chainguard 的首席执行官 Dan Lorenc 表示，“虽然从当前的技术水平来看，阻止Log4j 类似事件仍然困难，但模糊测试和默认安全的语言/库设计仍然可发挥很多作用。但完全利用仍然要求库在具有重要权限的环境中运行，而很多权限可能不是必需的。利用无需启动很多JVM特性。完整的RCE要求具有外部网络访问权限。如果你不需要任何一种权限并将它们禁用，那就没有什么问题。”

报告还提出保护更大开源软件生态系统的措施，并提到了一些组织机构如OpenSSF、OWASP等为评估项目风险而提供的培训、审查、开发者工具和其它服务等。

谷歌云基础设施副总裁 Eric Brewer 指出，“大部分的现代软件开发都使用了开源软件，包括关键基础设施和全球安全系统中集成的开源软件。总体而言，保护整个社区的开源软件从未如此重要，尤其是对于数字化基础设施的重要性更是如此。”

Brewer 建议企业识别关键开源包清单，更好地优先处理和安全相关的投资，并为关键项目设立安全、维护和来源目标。

另外，企业应当开发自动记分卡，来衡量这些目标和框架取得的进展进行佐证。最后，Brewer 以及该网络审查委员会均认为，行业和联邦政府需要在开源安全和项目维护方面投入更多资源。

https://www.theregister.com/2022/07/14/dhs_warns_expect_log4j_risks/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~