使用 Cortex Xpanse 管理攻击面上的 Apache Log4j

This post is also available in: English (英语) 日本語 (日语)

Cortex Xpanse 如何在攻击面中发现易受攻击的应用程序

注意:

这种情况正在迅速发展,因此,我们将用掌握的最新信息定期更新 Cortex®Xpanse™。如果您有任何疑问,请联系您的客户成功接洽经理。

本文最初发布于太平洋时间 2021 年 12 月 9 日下午 7:55。

太平洋时间 2021 年 12 月 15 日下午 1:50 第 1 次更新,反映一个额外 CVE 和额外受影响的软件/设备。

太平洋时间 2021 年 12 月 15 日下午 4:55 第 2 次更新,反映更多受影响的软件。

太平洋时间 2021 年 12 月 17 日 11:17 第 3 次更新,描述功能并更新有关 VMware vCenter 的信息。

摘要

2021 年 12 月 9 日,Apache Log4j 2 日志库中的一个高严重程度远程代码执行漏洞(俗称 Log4Shell)被确认为在公共互联网上被利用(详见 Unit 42 博客上对漏洞的详细分析和建议的缓解措施)。

Log4j 库被大量基于 Java 的应用使用。它在开源库和产品中的广泛使用,再加上利用它所需的低复杂度,使得这个漏洞特别令人担忧。情况在不断发展变化。之前的建议是将 Apache Log4j 库升级到 2.15.0 版。但是,该版本库中的修补程序不完整,已在版本 2.16.0 中修复(请参阅 CVE-2021-45046)。

强烈建议受影响的企业尽快升级到 Apache Log4j 版本 2.16.0 或以上。

您如何知道自己的企业是否受到影响?特别是如果这些漏洞嵌入使用 Log4j 的软件,而不是内部开发的应用中,会有什么影响?这篇文章解释了我们正在做些什么来帮助您识别企业中易遭遇这种发展中的威胁的应用。 

如今 Cortex Xpanse 的作用

Cortex Xpanse 中的问题模块通过识别存在已知问题的软件的品牌、型号和版本来检测数字攻击面中的安全漏洞。您在 Cortex Xpanse 中看到的问题是通过一系列策略产生的,其中包含有关漏洞性质、严重性的信息,以及有关在您的网络中发现漏洞的位置的相关信息,包括受影响的 IP、证书、域等。

寻找潜在的 Log4j 漏洞

Cortex Xpanse 将问题类型分为类别或主题,以便于浏览和筛选。我们创建了一个新的问题类别,名为使用 Apache Log4j 2.x 的软件(CVE-2021-44228、CVE-2021-45046),包含涵盖可能受 CVE-2021-44228 和 CVE-2021-45056 影响的软件的所有现有策略。 

新的分组现在立刻可用,但需要注意的是,它可能未涵盖所有受影响的软件品牌、型号和版本,当您阅读本文时,相应列表正在增长和变化。

接下来是什么?

以下部分列出了 Cortex Xpanse 可以检测到的所有已知易受 CVE-2021-44228 和 CVE-2021-45056 影响的应用。随着我们的研发团队向我们的产品添加检测功能,我们将不断更新此列表。有关最新信息,请参阅本节。 

Cortex Xpanse 中的 Log4Shell 问题

过去几天,大量供应商发布了建议性通告和修补程序。本节将随着我们向产品添加新策略保持更新。

Expander 展示了暴露于公共互联网的系统,无需安装任何类型的代理或传感器。下面的一些系统未公布版本信息,或者根据我们客户网络的配置在这方面受到限制。Expander 尝试检索或衍生版本信息,但并非在所有情况下都可以如此。 

我们能够以更高的置信度确定一些设备/应用,从而推断它们可能使用的是受影响的 Log4j 版本。以下应用属于该类别,并已在 Cortex Xpanse 中自动启用为问题策略:

其他设备/应用不提供此级别的可视性。这些应用具有可由您的团队在策略选项卡中启用的策略;我们鼓励客户根据需要将其切换到“开”:

开源扫描

网络安全和基础架构机构 (CISA) 已经从开源社区的其他成员创建的扫描程序中衍生了一个开源的 log4j 扫描程序。此工具旨在帮助组织识别受 log4j 漏洞影响的潜在易受攻击的 Web服务。在 GitHub 上可以找到这一工具。

Cortex Xpanse Log4Shell 主动扫描

另外,Cortex Xpanse 为我们的客户提供对其基础架构的按需扫描。Log4Shell 扫描从 Cortex Xpanse 拥有的扫描基础架构运行,只扫描批准的周边目标。在实践中,我们通常会发现,即使漏洞可以从周边触发,被利用的计算机也不会直接面向互联网(见下图)。

如果我们成功利用该漏洞,我们将对 Cortex Xpanse 拥有的 DNS 服务器进行 DNS 调用。我们跟踪对 DNS 服务器的所有调用,并向客户提供易受攻击系统的详细信息。

如果您想了解更多信息,请联系您的客户成功接洽经理。