Log4j漏洞给安全界带来非常大的影响，是时候为Log4Shell敲响警钟了！

Gurucul的首席执行官Saryu Nayyar对于Log4Shell漏洞进行了讨论，已经述说了后续我们应该采取的行动。Saryu Nayyar表示：“我无意对Log4j漏洞(CVE-2021-44228)，即Log4Shell危言耸听，但这个漏洞非常糟糕。”

首先，Log4j是一个无处不在的日志库，被数百万台计算机广泛使用。其次，美国网络安全和基础设施安全局(CISA)的负责人表示，这是她数十年来职业生涯中见过的最严重的漏洞，许多安全专家对此表示赞同。第三，研究人员表示，网络攻击者已经每分钟利用该漏洞数百次。事实上，Log4Shell相对容易被利用，因此即使是低技能的黑客也可以利用。

Log4j是Apache软件基金会的开源软件。正如The Conversation所解释的，这个日志库被广泛用于记录日常系统操作和错误等事件，并传达有关这些事件的诊断消息。Log4j中的一项功能允许软件用户指定自定义代码来格式化日志消息。此功能还允许第三方服务器提交可以在目标计算机上执行各种操作（包括恶意操作）的软件代码。漏洞利用的结果是攻击者可以远程控制目标服务器。

攻击者抢占先机

在12月中旬发现该漏洞的几周内，据报道，与朝鲜、中国、伊朗和其他国家有关的民族国家行为者已经创建了工具包，用于快速大规模利用该漏洞。Log4Shell也成为了在全球范围内活动的勒索软件和僵尸网络团伙的宠儿。这个漏洞的一个真正危险是有很多方法可以利用它来达到恶意目的。

Log4j在业务系统中的流行程度如何？Wiz和Ernst&Young对拥有数千个云帐户的200多个企业云环境进行的分析表明，其中93%的环境存在漏洞风险。

谷歌研究人员发现，在大型Java包存储库Maven Central上，超过8%的包至少有一个版本受到此漏洞的影响——按所有生态系统影响标准衡量，这是一个“巨大”的数量。

所以，这个漏洞的存在相当广泛。至于全球影响，现在说还为时过早。很大程度上取决于组织对威胁的反应程度。

每个人都必须采取行动

对于受此影响的每一个人来说，如果这种脆弱性存在于面向公众的系统中，那么立即采取措施来减轻这种脆弱性既是一种商业需要，也是一种道德需要。自然，没有企业希望其系统容易受到攻击，这种攻击可能导致数据损坏或被盗，并有可能导致严重的业务中断。

至于道德责任，美国联邦贸易委员会指出公司有责任采取措施“减少伤害消费者的可能性。”随着Equifax违规事件的余波仍历历在目，联邦贸易委员会警告称，它“打算利用其全部法律权力，对那些未能采取合理措施保护消费者数据免受Log4j或未来类似已知漏洞影响的公司进行追查。”当然，并不是每家公司都为消费者服务，但这与解决这个问题无关。

CISA发布了一份名单“立即行动”组织必须承诺补救Log4Shell带来的风险。最重要的操作是通过确定哪些资产使用Log4j软件来了解问题的程度，然后应用适当的补丁。可以说是止血。

在此之后，您必须假设您已经受到威胁，在您的系统中寻找恶意活动的迹象，并继续监控可能指示正在进行的攻击的奇怪流量模式或行为。

当漏洞被利用或攻击者成功地将自己插入到您的环境中时，检测威胁活动至关重要。这是您的安全工具的有效性受到考验的地方。

你的安全工具有多有效？

依赖于传统的基于规则的检测和模式匹配的安全工具可能很容易在此漏洞利用的早期捕获一些由注入的恶意软件执行的命令。然而，随着Log4Shell变体以更好的执行策略肆虐，传统的安全信息和事件管理(SIEM)以及扩展检测和响应(XDR)工具可能难以识别攻击，除非工具供应商对规则库进行非常频繁的更新。那是不切实际的。采用包括机器学习、人工智能和行为分析等一些高级检测方法的分层安全方法也至关重要。

每个组织都应该有一个缓解计划，以防将来再次出现类似的情况。无论是关闭有问题的软件，还是立即对其进行修补并在其重新投入生产之前对其进行测试，团队都需要准备好在数小时甚至数分钟内做出主动响应。