覆盖面太大 Log4j漏洞弥补工作十分困难
发布时间:2021-12-23 10:17:07 所属栏目:站长百科 来源:互联网
导读:Log4j漏洞所藏身的组件并不总是易于检测,且该组件的使用范围远不止企业自己的网络和系统。 如果想要缓解公司的Log4j漏洞暴露问题,安全团队需要克服很多难题,比如确定暴露的全部范围,找出变通方法堵上无补丁系统的漏洞,以及确保第三方产品和服务有所防护
|
Log4j漏洞所藏身的组件并不总是易于检测,且该组件的使用范围远不止企业自己的网络和系统。 如果想要缓解公司的Log4j漏洞暴露问题,安全团队需要克服很多难题,比如确定暴露的全部范围,找出变通方法堵上无补丁系统的漏洞,以及确保第三方产品和服务有所防护。 安全专家本周表示,对于许多人来说,由于需要持续监测攻击者试图利用漏洞的迹象,或者监测自身可能已经遭到入侵的指标,这项任务会变得更加复杂。 Log4j是一种日志工具,几乎存在于所有Java应用中。从2.0-beta9到2.14.1的多个Log4j版本中存在关键远程代码执行漏洞(CVE-2021-44228),攻击者可利用该漏洞完全控制易受攻击的系统。上周,Apache基金会发布了该工具的更新版本 (Apache Log4j 2.15.0),但由于原始补丁未能完全防止拒绝服务(DoS)攻击和数据盗窃,本周二又发布了第二次更新。 很多人都觉得这个漏洞是近期最危险的漏洞之一,因为实在是太容易被利用了,而且普遍存在于每个IT环境中。举个例子,Veracode就发现其客户中88%都在使用某个版本的Log4j,而58%的客户环境中存在带漏洞的版本。 API和第三方风险 应用还不是唯一的问题。Log4j漏洞也会影响应用编程接口(API)环境。Noname Security表示,包含该漏洞的API服务器提供了诱人的攻击渠道,因为许多企业其实对其API清单和API行为的可见性有限。没使用Log4j日志框架的公司可能在用含有Log4j漏洞的受信第三方API,同样面临Log4j漏洞利用风险。 Noname Security技术副总裁 Aner Morag表示:“对于企业而言,想要最大限度地降低遭遇API型[Log4j漏洞]利用的风险,需要采取几个步骤。”这些步骤包括:映射使用任何Java服务提供API的所有服务器,不允许任何用户输入接触到API服务器上的日志消息,使用代理或其他机制来控制后端服务可以连接到哪些服务器,并将API置于API网关或负载均衡器之后。 企业面临的另一个Log4j漏洞缓解挑战是,要确保他们使用的所有第三方产品和服务都打上了合适的补丁,或者设置了针对该漏洞的缓解措施。 (编辑:厦门网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
