华顺信安
持续追踪 | 找到排查Log4j2漏洞的线头

2021/12/29 20:24:38

Apache Log4j2远程代码执行漏洞(CVE-2021-44228)给网络空间安全带来的影响还在继续,并将在很长的一段时间内持续存在。

虽然Log4j2漏洞的爆发已有半月余,但无数的网络安全工程师们都还在头疼于该漏洞的排查、修复工作,它给供应链安全带来的“伤痛”会在相当长的一段时间“紧密伴随”全球信息化发展。

迷宫深处的隐患与460万+受影响资产

从420万到460万,仅仅3天时间,FOFA平台就又搜索发现超过40万的网络空间开放资产内含Log4j2组件。

作为底层组件,Log4j2被无数开源Java组件所依赖,开发过程中越来越多开源组件的调用以及软件复杂性的攀升,使得Log4j2组件本身在被不断嵌套进更复杂的体系中,而它携带的漏洞威胁也在同步更深、更广的传播开来,并最终体现于应用层面。

1.png

图 层层嵌套下 Log4j2漏洞宛若“迷宫套娃”

对最终用户而言,这种迷宫般的复杂性就是“黑盒”一样的存在,即便收到漏洞安全预警,用户也不易判断出自己拥有的各类资产是否受到影响,更加难以在第一时间做出最优判断。

从FOFA平台当前搜索结果来看,全球已有超过460万的开放资产使用了Log4j2组件。可以预见,随着FOFA平台专家研究的深入、规则的更新,这一数字还会继续上涨。

以Log4j2为核心的漏洞威胁迷宫黑洞将变得愈加庞大。

2.png

图 FOFA搜索结果:Log4j2相关资产

抽丝剥茧找到修复Log4j2漏洞的线头

就像是在一栋正在使用的大楼里寻找一块有问题的砖头,即便修补该漏洞的方法已经被确认有效,但由于Log4j2是底层组件,大部分系统在应用层面并不会暴漏出Log4j2的特征,所以安全专家只能通过获取受影响产品清单进行分析和总结来排查。但组件内部迷宫般的复杂性会让这一工作难度大幅提升,因此整体漏洞修复工作呈现出了“修复容易,排查难”的特点。

为了找到迷宫里破解排查难题的那根“线头”,华顺信安的FOFA网络空间资产搜索引擎上线了Log4j2专题页,用户可直观查询到Log4j2组件相关资产信息。

3.png

图 Log4j2专题在FOFA首页上线

漏洞爆发之初,来自政府、厂商的安全专家就提示广大用户,本次漏洞威胁影响范围极广,并向全行业发出了安全威胁警报。那么这个范围到底有多广?受影响的资产究竟是哪些呢?

根据FOFA-Log4j2漏洞专题页的信息可以看到:目前已分析、探测到受影响的主流资产有85类,包括OA系统、财务系统、数据库等,其中不乏被国内政企用户广泛采用的主流生产、办公产品与工具。

4.png

图 某知名集成工具(含Log4j2组件)在全球的使用分布情况

解决Log4j2漏洞隐患是一项长期的工作,华顺信安的FOFA-Log4j2漏洞专题也将持续性更新,帮助用户逐渐找到更多破解排查难题的“线头”。


FOFA自查引导:

企业或单位在梳理出互联网暴露面资产后,再与专题里的Log4j2特征相结合,即可快速、准确定位出企业包含Log4j2风险的资产范围。例:domain="域名" && app="Log4j2"

5.png


解决供应链安全隐患新视角

Log4j2漏洞的影响引起了全社会的关注,这一事件也为整个安全界敲响了警钟,“供应链安全”已经是全球网络安全业界下阶段需要重点关注的领域。本次被爆出漏洞的Log4j2并非被广泛使用的唯一底层组件,未来全球安全专家还将与黑产持续展开交锋,新的供应链安全隐患将被更多的挖掘发现。

对于政企单位网络安全负责人而言建设从资产角度出发的安全能力并藉此清晰供应链安全隐患将变得十分必要。网络安全管理人员从全网视角对自身资产洞察,可以在威胁预警发生时帮助其对资产实施有效管理,通过构筑动态、可持续的安全体系实现“供应链安全威胁”的有效应对