1。Log4j2漏洞
2021年12月28日Apache Log4j2官方公佈了最新的Apache Log4j2遠端程式碼執行漏洞(CVE-2021-44832)。安天第一時間對此進行了分析,其主要原理是當攻擊者有許可權修改日誌配置檔案,並惡意修改JDBCAppender的資料來源,可造成JNDI注入實現遠端程式碼執行。
Apache Log4j2 遠端程式碼執行高危漏洞爆發以來,各個安全廠商陸續推出了針對此漏洞的修復方案和工具。修復方法包括如下:
根據官方建議將
Apache Log4j2
更新到最新版本,詳見地址: https://logging。apache。org/log4j/2。x/security。html
徹底手工移除Log4j2中帶JNDI的相關class檔案
設定一些環境變數,以防止Log4j2呼叫到JNDI
其它一些手工工具修復等等
但是對於雲主機以及容器這樣的工作負載來說,目前的大多數修復方案多少都存在一些不盡如人意的地方,尤其是安全運維人員面對海量的工作負載時,需要更加自動化、智慧化的解決方案。安天雲安全團隊第一時間推出面向雲計算環境的整體安全解決方案。本方案針對Log4j 2的漏洞問題,在雲場景下從威脅對抗的角度提供了識別、加固、防禦等的相關具體措施。
2。快速高效清點Log4j2漏洞資產
如何判斷資產中是否存在Log4j 2漏洞?人工查詢包含引用相關class檔案包的應用費時費力容易疏漏。使用智甲雲主機安全系統,透過在多雲、混合雲環境中各類工作負載統一的細粒度資產清點和風險發現等功能,可以實現隱患資產的快速排查並及時告警。下面是相關操作方法:
1。主機資產識別
2。漏洞掃描
3。基線核查
目前較為流行的應急緩解措施有如下幾種方式:
新增log4j2。component。properties配置檔案,增加:log4j2。formatMsgNoLookups=true
設定jvm啟動引數: -Dlog4j2。formatMsgNoLookups=true
設定系統環境變數:LOG4J_FORMAT_MSG_NO_LOOKUPS=true
除此之外,安全運維人員還可透過資產基線核查的功能,詳細理出存在風險的資產,確保修復計劃覆蓋所有風險資產。
4。容器雲環境下的排查方法
安天智甲容器安全系統可以在容器構建階段,透過對本地映象和映象倉庫進行漏洞與安全基線檢測,及時發現Log4j 2安全風險,並可以透過設定策略阻止含風險映象啟動;在容器執行階段,可以對執行中的容器進行風險掃描,確認線上容器是否已經存在風險,同時API安全功能可以自動發現、自動掃描線上的微服務API是否存在安全風險。
3。批次加固修復、規避風險
Log4j2漏洞利用有5個主要步驟:
向存在Log4j2漏洞的服務端傳送http包頭,其中含有JNDI lookup的惡意請求;
服務端解析請求,並將惡意字串傳遞至Log4j2元件;
Log4j2元件解釋執行惡意字串中內容,外聯至惡意伺服器;
惡意伺服器回傳惡意Payload;
Log4j2漏洞服務端JAVA應用反序列化(或者下載)惡意JAVA類並執行;
具體的漏洞利用步驟以及每個步驟的常見防禦手段,如下圖所示:
攻擊者想要利用該漏洞,需要至少執行上述5個步驟。任一步驟執行不成功,都可以阻斷攻擊,從而實現安全加固效果。
目前,網路上已經公開多種WAF繞過方式,單純使用WAF阻斷很難達到效果。而禁用Log4j2元件容易造成業務系統故障,尤其是老舊系統故障。熱補丁方案可實現批次化處置,並且無需重啟java服務,不會對業務系統造成影響,是目前較為可行的臨時解決方案。
安天雲安全為主機場景、容器場景分別提供了相應的熱補丁方案,其原理如下:
主機熱補丁原理是藉助JVM的Attach機制, 將緩解程式碼注入執行中的目標JVM程序, 再使用ASM(Java 位元組碼操控框架)修改JVM中的org。apache。logging。log4j。core。lookup。JndiLookup方法的位元組碼, 達
到無需重啟禁用JndiLookup::lookup的目的。
容器熱補丁原理是利用漏洞注入點,把注入payload修改為安全伺服器熱補丁地址,存在漏洞的應用會從安全伺服器熱補丁地址遠端載入class檔案,最終實現無需重啟服務來禁用jvm虛擬機器中的JNDI。
根據以上的原理,我們對主機和容器提供可自動修復漏洞的熱補丁功能,可以自動、手動加固存在漏洞的應用。
1。雲主機自動化熱補丁加固
在主機/雲主機上,探針將實時檢測任何啟動的JAVA應用,並且檢測其是否包含Log4j2漏洞,如果存在則立即注入並消除潛在風險。安全運維人員可以開啟或者關閉這個策略。
2。容器自動化熱補丁加固
在容器雲環境下,透過API自動發現功能,可以發現線上執行時容器存在的Log4j2漏洞,修復的方式是透過Log4j2漏洞exp將管理中心上的熱補丁打入目標機執行。安全運維人員可以使用一鍵批次修復功能,快速給容器進行熱修補。
3。手動熱補丁加固
若小夥伴們沒有在使用安全智甲雲主機系統,可聯絡安天客服中心電話:4008409234或掃描下方二維碼,新增客服微信獲取。
具體操作如下圖所示:
注:熱補丁在業務重啟後將失效,需重新打熱補丁。
4。漏洞防禦和應對
Log4j2漏洞攻擊的關鍵步驟在於受攻擊的服務應用透過網路訪問了非授信的外部資產,然後下載並執行攻擊載荷。因此,如何在複雜主機環境中,尤其是雲環境中構建一個可信的網路訪問策略,是避免遭受此類0day攻擊的一個重要措施。而這也是零信任框架中的核心理念:構造應用訪問的最小依賴關係,並透過持續認證的技術手段,限制攻擊者的橫向移動範圍並減小攻擊面。如今微隔離技術已成為保護企業業務免受破壞的最佳實踐之一,其主要的價值在於迫使攻擊者(和惡意軟體)“付出超額的技術和人力成本”。在最好的情況下,微隔離可以直接消除威脅。在最壞的情況下,所有額外的活動都會增加防禦者發現的機會。
此外,根據Log4j2 社群提供的資訊,認為Log4j 1。X 版本也會因JNDI的支援受到漏洞影響。但鑑於已經停止維護,不會發布相關更新,相關漏洞如:CVE-2021-4104。
我們推薦採用安天雲主機安全系統的微隔離解決方案:
1。自動化的雲上資產應用的識別,以及智慧化的對映工作負載、應用程式和環境之間的連線。
2。理解安全隔離的原則,並根據運營安全需求制定合理的、不同粒度的微隔離策略。
3。測試並部署微隔離策略,透過測試和構建訪問模型,確保該策略與資料中心的運作方式保持一致,在業務和應用層面以透明狀態存在,對其沒有任何影響。
最終根據零信任安全最佳實踐,對使用者全網業務流量實施“持續認證,非授權,不放行”的網路安全策略。將使得上述場景中攻擊者(透過RCE等方式)在訪問額外的網路資源時及時阻斷,或者洞察非授權的網路訪問行為及時告警。透過限制攻擊者的網內橫向移動行為,從而規避或者緩解失陷主機帶來的威脅面擴散的風險。
5。 防禦有效性驗證
微隔離防禦驗證:
1。啟動POC測試工具,填寫相關目標及相關資訊,進行驗證。
2。在部署智甲雲主機安全系統的主機上測試漏洞利用不成功,登入智甲雲主機安全系統管理平臺,依次點選微隔離>阻斷事件,若阻斷事件中存在一條記錄如下圖所示,證明智甲雲主機安全系統已經透過流量隔離的方式將攻擊行為識別並阻斷。
熱補丁緩解驗證:
1。使用漏洞驗證工具,並開啟在JNDI本地服務,並確保與目標機網路互通,。
2。找到Log4j2漏洞利用點,並構造併發送POST請求,如果修補未成功,則會成功執行命令,如下圖所示:
3。反之則無任何回顯,提示連線超時。證明漏洞已被修補,無法被利用成功,如下圖
所示:
安天雲安全產品簡介
安天智甲雲主機安全系統是一款定位於面向多雲、混合雲場景下的統一雲工作負載防護 產品。支援物理機、虛擬機器、容器等多種工作負載,具備資產資產清點、風險評估、合規基線、入侵檢測、容器安全、微隔離等10餘項安全防護能力。
安天智甲容器安全系統支援多種PaaS容器雲平臺、容器邊緣計算裝置的容器安全防護產品,並同時支援deamonSet、sidecar兩種方式的全容器化部署。具備容器資產清點,容器風險檢測、容器執行時防護、應用入侵檢測、微隔離、微服務安全等7項容器安全防護能力,覆蓋容器全生命週期各階段。
智甲雲主機安全系統與智甲容器安全系統可無縫融合,為使用者多雲、混合雲場景中的業務提供統一的、全方位的安全防護。
