Log4J 漏洞是否会在内部安全网络中打开原本不会存在的漏洞?
Does the Log4J vulnerability open up vulnerabilites in an internal secure network that would not be present otherwise?
是否存在“内部安全应用程序”场景,其中软件由于较早的 Log4J 版本比没有它时更容易受到攻击?
我在下面概述了有关此问题的一些细节。
我正在做一些工作来减轻最近 Log4J 漏洞带来的风险。我知道涉及从组织的所有计算机、服务器、远程桌面等所有内容中删除早期 Log4J jar 文件的所有痕迹的方法,在完成此操作之前,组织将被视为“处于风险中”。但是,我也想知道全面投入如此大的努力是否相称 [edit 22-Dec-21 12:15 - 道歉:要清楚我试图通过“相称”来理解的是考虑到在相同的组织工作负载期间可能存在我们可以解决的其他非 Log4J 漏洞,我们将通过将大量精力集中在某些 Log4J 代码使用上而较少地投入到其他代码使用中来获得更好的结果。
我对这个漏洞有基本的了解,例如 https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/ 坏人发送包含 JNDI 命令的 HTTP 消息,然后在程序下一次尝试写入日志时执行该命令。对于面向 public 的应用程序来说,那里的风险似乎很明显,让我想起了众所周知的 SQL 注入攻击(经典姓氏:SMITH;DROP TABLE CUSTOMERS 浮现在脑海中)。
但是“全面”解决方案正在寻求降低软件风险,例如
- 内部 Java 受防火墙和 DMZ 等技术保护免受外界(内外)影响的 Web 应用程序
- 内部 Java 我希望在执行期间无论如何都不会被篡改的批处理程序
- 确实可以 运行 管理员模式的 Citrix 虚拟桌面,具体取决于用户,但我希望外界完全无法访问。
到目前为止,我听到的“全面”的唯一理由是坏人可能能够通过隧道进入网络并导致 Log4J 漏洞被执行,但在那种情况下似乎通过隧道进入网络的坏人可以直接执行恶意软件,而不用费心去寻找使用早期版本 Log4J 的程序。
在考虑了@f1sh 和@hfontanez 的评论并与更多人交谈后,我很高兴我了解了这个漏洞的独特方面,这表明尽管 运行 在安全的环境中。
我认为这个漏洞的显着特点是问题体现在日志记录的过程中,日志记录无处不在。日志记录甚至发生在本身试图处理入侵企图的代码中,这方面可能会打开来自不良行为者的新攻击线。
关于安全组织中的 运行 内部代码,我理解可能会出现一连串从组织外部开始的事件,最终可能导致 Log4J 漏洞被利用组织内部。目前,这可能比现实更有可能,但鉴于此漏洞的独特性,它可能会使此类攻击更容易执行。
要消除此漏洞的一点是确保内部应用程序在不需要时无法在组织外部进行网络调用的重要性,并且对外部的任何有效调用都受到限制需要什么。
是否存在“内部安全应用程序”场景,其中软件由于较早的 Log4J 版本比没有它时更容易受到攻击?
我在下面概述了有关此问题的一些细节。
我正在做一些工作来减轻最近 Log4J 漏洞带来的风险。我知道涉及从组织的所有计算机、服务器、远程桌面等所有内容中删除早期 Log4J jar 文件的所有痕迹的方法,在完成此操作之前,组织将被视为“处于风险中”。但是,我也想知道全面投入如此大的努力是否相称 [edit 22-Dec-21 12:15 - 道歉:要清楚我试图通过“相称”来理解的是考虑到在相同的组织工作负载期间可能存在我们可以解决的其他非 Log4J 漏洞,我们将通过将大量精力集中在某些 Log4J 代码使用上而较少地投入到其他代码使用中来获得更好的结果。
我对这个漏洞有基本的了解,例如 https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/ 坏人发送包含 JNDI 命令的 HTTP 消息,然后在程序下一次尝试写入日志时执行该命令。对于面向 public 的应用程序来说,那里的风险似乎很明显,让我想起了众所周知的 SQL 注入攻击(经典姓氏:SMITH;DROP TABLE CUSTOMERS 浮现在脑海中)。
但是“全面”解决方案正在寻求降低软件风险,例如
- 内部 Java 受防火墙和 DMZ 等技术保护免受外界(内外)影响的 Web 应用程序
- 内部 Java 我希望在执行期间无论如何都不会被篡改的批处理程序
- 确实可以 运行 管理员模式的 Citrix 虚拟桌面,具体取决于用户,但我希望外界完全无法访问。
到目前为止,我听到的“全面”的唯一理由是坏人可能能够通过隧道进入网络并导致 Log4J 漏洞被执行,但在那种情况下似乎通过隧道进入网络的坏人可以直接执行恶意软件,而不用费心去寻找使用早期版本 Log4J 的程序。
在考虑了@f1sh 和@hfontanez 的评论并与更多人交谈后,我很高兴我了解了这个漏洞的独特方面,这表明尽管 运行 在安全的环境中。
我认为这个漏洞的显着特点是问题体现在日志记录的过程中,日志记录无处不在。日志记录甚至发生在本身试图处理入侵企图的代码中,这方面可能会打开来自不良行为者的新攻击线。
关于安全组织中的 运行 内部代码,我理解可能会出现一连串从组织外部开始的事件,最终可能导致 Log4J 漏洞被利用组织内部。目前,这可能比现实更有可能,但鉴于此漏洞的独特性,它可能会使此类攻击更容易执行。
要消除此漏洞的一点是确保内部应用程序在不需要时无法在组织外部进行网络调用的重要性,并且对外部的任何有效调用都受到限制需要什么。