2021 年 12 月 9 日,安全研究人员公布了一个零日漏洞CVE-2021-44228,该漏洞影响了广泛使用的基于 Java 的 Apache Log4j 日志库。该漏洞被称为Log4Shell,可允许未经身份验证的远程代码执行和访问服务器,实际上就是完全接管易受攻击的系统。
许多云平台、网络应用程序和电子邮件服务都使用了 Log4j,这意味着有许多系统都可能受到该漏洞的威胁。GitHub 公布了一份易受攻击的应用程序和系统的列表,安全研究人员报告说,网络攻击者每分钟已经尝试利用该漏洞数十万次。
由于它被部署在全球数百万个基于 Java 的网络应用程序中,因此组织不仅要确定其内部攻击面,还要确定其面临的来自易受攻击第三方的风险。
立即确定第三方是否暴露于 Log4Shell 的 8 个问题
Prevalent 设计了一个 8 个问题的评估,通过确定哪些第三方在其应用程序中使用了 Log4j 以及他们的缓解计划,可以利用该评估快速确定对您业务的任何潜在影响。
| 问题 | 可能的对策 |
|---|---|
| 1) 组织是否已确定其是否受到最近在 Log4j 实用程序上出现的 Apache 远程代码执行 (RCE) 漏洞的影响?
帮助文本:此问题与最近影响 Apache Log4j 实用程序的远程代码执行 (RCE) 漏洞 (CVE-2021-44228) 有关,该漏洞出现在 2.0-beta9 至 2.14.1 版本中。 |
请从以下选项中选择一项:
a) 该组织已审查并确定受到最近的 Apache 远程代码执行漏洞的影响。 b) 该组织已审查并确认不受最近的 Apache 远程代码执行漏洞的影响。 |
| 2) 组织是否已按建议更新至 Log4j 2.15.0? | 请从以下选项中选择一项:
a) 是的,本组织已设法将程序更新到最新的 2.15.0 版本。 b) 组织无法更新到最新的 Log4j 版本。 c) 该组织尚未将程序更新到最新的 2.15.0 版本。 |
| 3) 组织目前运行哪个版本的 Log4j 程序? | 请从以下选项中选择一项:
a) The organization uses a release >=2.7 and <=2.14.1 b) The organization uses a release >=2.0-beta9 and <=2.10.0 (proceed to question 5) |
| 4) If your current release of Apache Log4j is *>=2.7 and <=2.14.1*, and your organization has not updated to the latest version, then have the following actions been taken?
帮助文本:Apache 发布了这些建议措施来解决 RCE 漏洞。建议采取的措施基于所使用的版本。 |
请选择所有适用选项:
a) 为减轻影响,组织将系统属性 log4j2.formatMsgNoLookups 或环境变量 LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true。 b) 所有 PatternLayout 模式都已修改,以 %m{nolookups} 代替 %m 来指定信息转换器。 |
| 5) If your current release of Apache Log4j is *>=2.0-beta9 and <=2.10.0*, and your organization has not updated to the latest version, then have the following actions been taken?
帮助文本:Apache 发布了这些建议措施来解决 RCE 漏洞。建议采取的措施基于所使用的版本。 |
请选择所有适用选项:
a) 为减轻影响,组织将系统属性 log4j2.formatMsgNoLookups 或环境变量 LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true。 b) 从 classpath 中删除了 JndiLookup 类:zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class。 |
| 6) 网络攻击是否影响了向客户提供或用于支持客户服务的关键应用程序?
帮助文本:在客户系统或持有客户信息的系统使用 Log4j 实用程序时应加以考虑。 |
请从以下选项中选择一项:
a) 是的,该漏洞已影响到交付给客户或用于支持客户服务的应用程序。 b) 没有,该漏洞没有影响向客户提供或用于支持客户服务的应用程序。 |
| 7)组织是否制定了事件调查和响应计划?
帮助文本:应制定监控、检测、分析和报告信息安全事件和事故的程序,并允许组织制定明确的应对策略,以处理已识别的事故和事件。 |
请选择所有适用选项:
a) 组织有成文的事件管理政策。 b) 事件管理政策包括报告信息安全事件和薄弱环节的规则。 c) 作为事故调查和恢复工作的一部分,制定事故响应计划。 d) 事故响应计划包括向内部各方升级的程序和与客户沟通的程序。 |
| 8) 谁被指定为可以回答其他问题的联络人? | 请说明管理信息和网络安全事件的主要联系人。
名称: 标题 电子邮件: 电话 |
加快第三方事件响应的 5 项最佳实践
Prevalent 建议采用全面的 5 步第三方风险管理方法,以更加积极主动地确定未来的第三方漏洞风险。
1.盘点第三方技术
发现第三方漏洞的第一步是确定哪些供应商使用了哪些技术。无论是通过外部扫描被动确定,还是通过专门的内部评估主动确定,其结果都应能使贵组织按第四方技术自动创建实体关系图。有了这项功能,您就可以更清晰地直观了解第三方的技术集中风险,并快速识别哪些供应商可能在 Log4Shell 等安全事件中面临风险。
2.向弱势第三方发布有针对性的评估
下一步是向潜在的易受攻击第三方发放专门的风险评估问卷。但是,由于大多数安全事件的复杂性和响应速度要求,您肯定不希望使用电子表格来收集这种尽职调查。
取而代之的是,利用一个平台,自动收集第三方对标准问卷的回复,将结果集中到一个单一的风险登记册中,并提供易于阅读的报告,显示哪些供应商存在漏洞及其补救计划的状态。
3.通过外部扫描验证评估结果
考虑到 Log4Shell 漏洞的严重性以及潜在业务中断对供应商造成的后果,必须将供应商的响应与外部可观察到的风险(如供应商公司 IT 基础设施中可能存在的恶意软件,或面向公众的错误配置和其他网络漏洞)进行比较,从而验证风险评估的结果。要做到这一点,可以将评估结果与网络扫描结果关联起来,形成一个单一的风险登记册,为评估结果添加背景信息。另一种方法是对漏洞数据库进行劳动密集型人工扫描,而您没有时间这样做!
4.补救和报告
收集、分析和关联供应商评估回复后,对结果进行分流,重点关注对企业影响最大的供应商。最好的第三方风险管理解决方案会提供供应商分层功能,以更好地了解哪个供应商最重要;为供应商提供内置补救指导;以及针对特定监管和安全框架的报告模板,以简化不可避免的审计员要求。
5.持续监控安全事件
保持对安全事件新闻和更新的持续反馈。寻找一种自动解决方案来实现这一目标,因为仅仅关注供应商的 RSS 源或新闻网站永远无法提供更积极主动的响应所需的深度或背景。良好的数据泄露监控解决方案包括被盗数据的类型和数量、合规性和监管问题,以及实时供应商数据泄露通知。
Prevalent 可帮助加快第三方事件响应速度
Prevalent 第三方事件响应服务是一种有助于快速识别和减轻 Log4Shell 等第三方安全事件影响的解决方案,它提供了一个平台来集中管理供应商、进行有针对性的特定事件评估、对已识别的风险进行评分并提供修复指导。Prevalent 将此解决方案作为托管服务提供,使您的团队能够卸载关键响应数据的收集工作,从而专注于补救风险和加速响应,以减轻潜在的破坏。
解决 Log4j 漏洞的下一步措施
使用本问卷确定 Log4Shell 漏洞可能对您的供应商生态系统造成的影响。然后,下载最佳实践白皮书或联系我们进行演示,了解 Prevalent 如何提供帮助!
Prevalent 客户须知:我们正在更新 Prevalent 平台,以纳入上述调查问卷。Prevalent 的网络安全团队已于上周末启动了对系统、应用程序和供应商的内部审查,以评估潜在漏洞,并跟踪缓解和修复步骤。随着调查的继续,我们将向客户提供详细信息和建议。有关详细信息,请访问我们的客户支持门户或联系您的客户成功经理。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
