再曝3个高危漏洞！Apache Log4j 漏洞1个月回顾：警惕关键信息基础设施安全 12c|ic|指纹|支付卡|三星|IC|芯片

近日，Apache Log4j 漏洞再次曝光3个高危漏洞，评级均在高危以上。
自2021年12月7日公开，Apache Log4j 漏洞被认为是“2021年最重要的安全威胁之一”，称它为“核弹级”漏洞真的不是夸张。该漏洞被披露已有1个多月时间，我们一起来回顾下，这场“核爆炸”究竟带来了哪些连锁反应？
被披露仅1个多月时间，以CVE-2021-44228漏洞为起始点，Apache Log4j 总计爆发8个漏洞，其中包括5个远程代码执行漏洞、1个SQL注入漏洞、2个拒绝服务漏洞，高危以上漏洞占据了7个。
【再曝3个高危漏洞！Apache Log4j 漏洞1个月回顾：警惕关键信息基础设施安全】
文章插图
Apache Log4j 漏洞信息表
该漏洞还被广泛应用于勒索、挖矿、僵尸网络上，黑产组织利用漏洞发起多个攻击事件。深信服对此梳理了完整的事件演进时间线：

文章插图

重点关注：关键信息基础设施安全防护值得关注的是，在Apache Log4j2远程执行代码漏洞被披露仅11天后，已有攻击者利用此漏洞成功攻击比利时国防部计算机网络。发言人证实其部分计算机网络处于瘫痪状态，如邮件系统已经停机数日。
据媒体报道称，比利时国防部是第一个报告该漏洞的政府受害者，但鉴于Apache Log4j 漏洞在公共和私营部门流行的软件中无处不在，它不可能是最后一个。
与此同时，已有勒索团伙将Log4j2漏洞武器化，并拥有完整的攻击链，严重威胁各国关基单位的安全与利益。保障关键信息基础设施安全，强化应急响应能力，这是Apache Log4j 漏洞攻击事件给我们带来的启示。
为什么关键信息基础设施极易成为攻击者利用Log4j 漏洞进行攻击的目标？
我们知道，Log4j 漏洞不仅存在于组织面向Internet的资产中，还存在于内部系统、第三方应用程序、SaaS和云服务等环境中。对于关键信息基础设施运营单位来说，面对庞杂的资产情况，难以厘清哪些资产完全暴露在威胁之下。
其次，关键信息基础设施所使用软件可能包含Log4j 漏洞的受信任的第三方 API，或可能包含特定组件的所有依赖项（包括 Log4j 库）中。由于组织缺乏API行为的可见性及漏洞埋藏较深，识别受影响的应用程序变得异常困难。
关键信息基础设施所使用的软件可能由第三方供应商提供，但针对Log4j 漏洞，未必所有的供应商都有可用的补丁，因此当前看似“风平浪静”，实则暗藏安全风险。
解决方案：长效治理防护，筑就安全防线当前，Log4j1.x已经停止维护，解决1.x版本漏洞，需要升级到Log4j2的新版本。未来，攻击者还会如何利用Apache Log4j2 组件漏洞对关键信息基础设施进行攻击不得而知。但可以确信的是，该漏洞在短时间难以全面排查，且一旦威胁快速升级，难以及时规避。
如果只是采用单次的风险排查和应急处置，将无法持续有效控制，风险治理异常困难。组织应基于威胁情报持续监测、快速响应，建立长效治理机制，及时规避风险。
针对该漏洞及后续进化版本，深信服基于深度研究、持续跟进，不断更新产品内置规则、云端威胁情报，并根据用户实际情况提供Apache Log4j2组件漏洞长效治理解决方案，从风险排查、安全加固、长效治理三个阶段，形成整体全面的建设思路，帮助用户彻底解决该漏洞带来的安全隐患。

文章插图

深信服Apache Log4j2 组件漏洞长效治理解决方案建设思路
1.专业检测工具匹配不同需求，快速排查安全隐患