对于许多安全团队来说,假期被 Log4Shell 具有挑战性的修复所破坏。受影响的 Log4j 软件在 Web 应用程序中无处不在,这使其成为有史以来最普遍的漏洞之一。

对全球对 Log4Shell 的响应具有独特的可见性,可以实时查看组织如何响应和补救。上周, CISO Chris Evans 和联合创始人 Jobert Abma分享了我们平台的发现。 

关于Log4Shell的攻击进化讨论插图
主机安全

提交量和奖励

黑客已经向我们的 400 多个客户提交了 2,000 多份 Log4Shell 报告。大多数报告是在 Log4Shell 公开披露后的前 14 天内进行的。从那以后,提交的数量显着减少,这表明 Log4Shell 的直接中断正在减弱。但是,我们警告不要假设威胁已经消失。鉴于 Log4j 无处不在,我们预计漏洞将在 2022 年继续被发现和利用。

截至今天,平台上的 Log4Shell 漏洞总共获得了 607,000 美元的奖金。其中,78,000 美元是由 Log4Shell 的客户计划专门提供的奖金。 

现实世界的影响

Log4Shell 是一个严重漏洞,已获得 CVSS 10.0,即可能的最高基本分数。 

根据我们客户收到的报告,Log4Shell 的现实威胁与该分数相符。分类后,75% 的提交保留了 10.0 分。由于环境因素,其余 25% 的报告的严重性被降级。

关于Log4Shell的攻击进化讨论插图1
云锁

黑客的适应性

Log4Shell 的严重性与 Log4j 的普遍性相结合,意味着攻击者有动机快速利用此漏洞。

攻击者在论坛和其他犯罪社区分享漏洞利用和有效载荷是很常见的。这使攻击者可以快速开始利用,并且基本上使任何攻击者都可以复制粘贴漏洞利用,从而降低了所需的技能。随着攻击者对漏洞的熟悉和经验,他们的攻击得到改善。

我们看到使用的初始有效载荷非常简单。为了应对广泛的探测和攻击,CDN 和大型组织在其 Web 应用程序防火墙中部署了规则,以识别和阻止这些简单的有效负载。 

攻击迅速演变为避免这些规则 – 添加数据泄露、使用不常见的端口和其他巧妙的调整。到 12 月 20 日,90% 的有效载荷已经进化到复杂的程度以规避障碍,形成了一场猫捉老鼠的游戏。

你的防御不可能是静态的——它们也必须随着攻击而发展。对于任何个人安全团队来说,跟上全球犯罪社区的步伐都是一项挑战。使用众包道德黑客社区的一个独特优势是,您可以利用相同的独创性和速度进行防御。 

关于Log4Shell的攻击进化讨论插图2
代码注入

资产管理 

资产管理是成熟安全态势的基础部分,通常是事件响应的起点。然而,仅有能见度是不够的。 

在完成我们的内部修复过程后,我们通过我们自己的错误赏金计划为 Log4Shell 报告提供了 25,000 美元的奖金。我们的产品是卓有成效的,产生了一份经证实的报告,发现有效载荷可以在我们的第三方云提供商中被利用。

确保整个供应链的安全需要多层防御。扫描工具是一个很好的起点,可让您在整个基础架构中识别易受攻击的软件 – 包括依赖项和第三方网络基础架构。如果您无法直接调查您的供应链组件,请联系这些供应商以确认他们正在补救。我们还建议通过您的错误赏金计划提供奖金作为奖励,以提高对您的补救成功的信心。