核弹级漏洞炸翻安全圈,想安心过年就凭它了
发布时间:2022-03-18 01:09:26 所属栏目:安全 来源:互联网
导读:时至岁末,IT界爆出了一个核弹级的漏洞: Log4Shell,至今已有一个多月,其影响依然在持续发酵,相关联的新漏洞也接连出现,很多企业给予前所未有的重视,给 IT 界带来了巨大的冲击。 何为Log4Shell? 简而言之,Log4Shell是Java日志框架log4j支持的Lookup J
|
时至岁末,IT界爆出了一个“核弹级”的漏洞: Log4Shell,至今已有一个多月,其影响依然在持续发酵,相关联的新漏洞也接连出现,很多企业给予前所未有的重视,给 IT 界带来了巨大的冲击。 何为Log4Shell? 简而言之,Log4Shell是Java日志框架log4j支持的Lookup JNDI(JAVA命名和目录接口)造成的漏洞。此JNDI支持LDAP数据源,可以通过LDAP, 根据用户指定的Key来获取相应的内容(数据或者对象),如果获取的内容是从第三方的服务器下载的Java对象(此对象可能具有破坏性),那么在加载这个Java对象并执行代码时,可能对应用程序造成不可估量的破坏。因为log4j应用广泛,涉及面广,一时之间,激起了千层浪。 IBM作为安全领域的领军者,一直以来,视用户应用和数据安全为生命。作为一线团队IBM Client Engineering,从产品的全生命周期出发,提出了防漏补缺的一套组合拳,可使此漏洞风险消除于无形。 组合拳之一:Instana和QRadar双剑合璧 Instana是现代化的应用性能管理工具,在亚秒级的链路追踪和非采样不丢失任何链路请求方面有着绝对的领导地位,而Log4Shell正是由发起API请求配合log4j的JNDI:LDAP 漏洞达到攻击的目的,这也是Instana可以发现该漏洞攻击的天然优势。 同时,QRadar能够提供快速而精准的态势感知,检测企业内部和云环境中的威胁并评估其安全风险,并提供快速展开调查所需的实时分析与管理。所以Instana和QRadar的结合可以对用户安全起到更加全面的评估和响应。 Log4Shell漏洞攻击剖析 为了清晰化Instana发现Log4Shell漏洞攻击的原理及方法,我们进行了Log4Shell漏洞模拟攻击实验,得出了如下两条结论: Instana可以实时发现服务被Log4Shell漏洞发起的任何攻击。 Instana可以发现含有Log4Shell漏洞的应用/服务。 这个结论是如何得出来的呢?首先,让我们通过下图来回顾如何通过Log4Shell的漏洞发起攻击的。 Java 应用 使用了log4j (版本<2.15),且lookup 功能为打开状态 Logger打印变量包含外部请求变量 Instana和QRadar对漏洞攻击的监控和响应 QRadar 可以监控接入服务的网络流量和日志。也可以通过接入第三方的漏洞扫描结果从而更具体的发现相关漏洞。所以QRadar也同样可以通过Instana API拿到相应的Trace Data, 指定相应的规则实时监控是否有人正在利用漏洞对我们的系统进行攻击,指定相关脚本,对漏洞或者攻击做出相应举措。同时可以Qradar SOAR安全编排自动化响应,来对漏洞做出自动而及时的补救措施。 组合拳之二:PAAS保驾护航之RHACS RHACS(Red Hat Advanced Cluster Security)是企业级的 Kubernetes 原生容器安全防护解决方案,可帮助用户更安全地构建、部署和运行云原生应用,能让用户及时洞察基于OpenShift 环境的关键漏洞和威胁。RHACS 默认配备了多种部署时和运行时策略,能有效防止有风险的工作负载部署或运行。同时,RHACS 可以监控、收集和评估系统级事件,如作业执行、网络连接和网络流,以及 Kubernetes 环境中每个容器内的权限提升等,并及时洞察问题,并根据既定规则判断出危险的级别。 RHACS漏洞管理功能非常全面,可以在整个软件开发生命周期中,识别并修复容器镜像和 Kubernetes 的漏洞。如下图中,RHACS在应用镜像中识别出了Log4Shell漏洞,并标记为Critical级别。 (编辑:大连站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐