韩国数据情报公司S2W(https://s2w.inc/)最近发布了一份关于Log4shell(CVE-2021-44228)的分析报告,并介绍了应对措施。从12月10日起,已经有利用该漏洞的恶意软件在暗网上积极传播。
S2W的CTI总监Kyoung-juKwak表示:“根据我们CTI小组的分析,利用Log4j相关漏洞的加密挖矿、僵尸网络和勒索软件等恶意软件正在积极传播,对未打补丁的系统的不分青红皂白的攻击已经开始。”他还表示担忧,“CVE-2021-44228不仅会影响Apache服务器,还会影响所有使用log4j的服务器和服务,无论服务器类型如何。”
S2W指出,有必要了解内部开源的当前使用情况,包括Log4j,以应对整体安全漏洞。此后,当与内部使用的开源相关的漏洞被披露时,也需要能够提供自动通知的系统。如果由于安全威胁而难以对整个系统采取同步措施,则需要采取顺序措施,这必须先对内部资产进行分类,如客户系统和外部可访问的员工工作场所,并识别正在使用的服务。S2W还强调,国内外会议和安全供应商应继续定期检查和内化与恶意软件有关的报告和情报。
S2W的《Log4shell日志(CVE-2021-44228)报告》精心挑选并介绍了国内外多种与log4j相关的漏洞检测和工具,包括远程检查多个站点漏洞的工具。
S2W强调,包括Tomcat、Minecraft、Redis、Apache Struts、Apache Solr、Apache Druid、Apache Flink、Apache Dubbo、ElasticSearch、Flume、Logstash、Kafka、Spring-Boot-starter-log4j2在内的150多个服务受到CVE-2021-44228漏洞影响,需要特别关注。
S2W自从在S2Gether(一个为客户提供的独立信息传递渠道)上被认定为漏洞后,就迅速分享相关信息。此外,S2W的CTI解决方案“Xarvis”正在更新从各个渠道收集到的与该漏洞相关的信息,相关的IoC(Indicator of Compromise)也在不断发布。
S2W Offensive Research的研究员Lee Dae-jin说:“一些关于使用log4j的旧版本(1.x)是安全的说法是错误的,官方曾宣布应该发现与此log4shell类似类型的漏洞,并采取相应措施。另外,log4j1.x版本是已经结束支持的版本,即使发现几个漏洞,也不会再出现补丁,所以建议更新到最新版本。“