这是…一个周末安全专家。ApacheLog4j脆弱性(cve - 2021 - 44228)影响介于0和3个多亿的设备目前运行Java。幸运的是,每吨现在存在于# InfoSecTwitter惊人的建议。大量消耗,这就是为什么我们放在一起三个并行工作流可以使用分而治之,与一些最好的Log4j可用资源。看看这三个流:预防和检测;供应商风险管理;和下面的内部和外部的通讯,请继续关注后续博客有更多深入的信息。

预防和检测

更新你的WAF规则

你将会看到大量的恶意流量试图利用Log4j(又名Log4Shell)的弱点,从“广撒网”试图持续入侵活动的序幕。现在更新您的web应用程序防火墙(WAF)规则来阻止这些攻击。如果你的WAF提供者自动将新规则,接受他们。

一些研究人员认为,这将是困难的建立一个组地址的屏蔽规则每一个潜在的恶意格式化的字符串,可以利用Log4j…但这并不是什么都不做的借口。相反,认为这将是一个迭代的过程,你可能在接下来的几个星期和几个月来更新你的WAF规则解决新兴开发技术。有一点需要注意,如果您的流程更新WAF规则是笨重和手册,这是你的机会来简化它。

检测和响应

态势感知是安全的关键运营团队在这种类型的事件。的报告女猎人实验室LunaSec需要阅读为你的团队。进一步,你的供应商风险管理(VRM)和DevOps团队必须与您的安全操作中心(SOC)密切合作,确保他们知道哪些资产受到这种脆弱性的影响。所中国钢铁工业协会指导从这些设备,SOC团队应该考虑任何警报并确定其优先级队列中一样重要。

有很多资源供Log4Shell预防、检测和响应。而不是照搬这些信息,我们提供一些最相关的链接:

/ Twitter,研究人员发现了这个漏洞披露的Apache软件基金会11月2021股。研究人员列出了他们的位置中国和雇主作为阿里巴巴的云安全团队。考虑到漏洞的披露要求中国增加了2017年,中国政府必须授权人员才能公开披露。根据法律要求,似乎一个最活跃的国家收到通知一个巨大的漏洞之前,或在11月,有充足的时间来武器化的技术。因素进入你的严重性的评估模型基于你的威胁。

亨特发现潜在威胁剥削

请记住,这个漏洞仍然新鲜,和脆弱性和有很大的区别的发展成熟的攻击。概念验证利用了网络漏洞被公开后几乎立即。这个问题和关注它的可见性得到了使它更有趣的复杂的入侵者,但机会威胁演员关注盈利马上跳上,因为研究人员看到它主要用于硬币矿工现在。

不管成熟演员背后的入侵的威胁,甚至硬币矿工需要的回应。虽然这利用现在占据了舞台的中心位置,利用可以永生,就像ms08 - 067,仍然是一个可靠的技术笔测试人员十多年来。开发一个图书馆积极打猎假设如何发现这如果被动检测失败。一些资源可能是有益的在这里在这里

轨迹回放

这不是第一个也不是最后一次我们看到这样一个漏洞;利用这段时间做笔记为下一个周期中需要改进。你的团队跟踪训练后物品和考虑还强调以下,我们经常看到挑战安全优点:

  1. 保持定期维护资产库存
  2. 优先考虑网络流量监测
  3. 需要一个软件材料清单(SBOM)从软件供应商(和生成一个精确的SBOM为您提供任何软件客户或合作伙伴)

供应商的风险管理

补丁像奥普拉赠送汽车厂商开始下降。汽车需要税收和保险,和补丁需要有人目录,测试,部署,可能回滚这些补丁。修补被提及似乎…适当的税收和保险,旁边。

如果您的组织计划一个假期/年终冻结代码版本和补丁,那么,事情可能需要改变。去年,SolarWinds Krampus玩,今年,这是Log4Shell鬼精灵的角色。为了避免打破一切,识别和优先任务关键型、高危软件和实现一个修补和测试计划。高危软件会根据你的行业但可能包括任何系统访问:

  1. 客户/员工数据与创收的影响。
  2. 财务数据。
  3. 知识产权。

有一些列表漂浮/不受影响的供应商,这个漏洞(例如,在这里)。VRM团队应该按照你的IT团队工作,业务应用程序团队,团队和业务弹性识别、分类和验证供应商发布一个补丁如果他们受到这种脆弱性的影响,解决了你的团队。

有些供应商可能误判的临界时间和这个漏洞的潜在影响的大小。这种脆弱性影响的不仅仅是您的安全姿势。也明白你动员你的努力和能力提供保证给你供应商的努力无疑将影响cyber-insurance利率和保险。看看这个资源为技术指导保护系统不会及时修补。

内部和外部的通讯

这个漏洞将瘟疫安全团队和企业更广泛的几个月。对话与组织这意味着什么业务是不可避免的。说话的时候给员工,董事会,或其他任何人外部的安全组织,使用容易理解的语言如以下,我们稍有调整@ramen0x3f:

有一个弱点在常用的软件工具互联网的很大一部分。当用户输入特定的文本到这些应用程序,它引发了一些工具,让他们完全控制的设备上运行的软件。

不止于此,因为这讲解员不包括所有的努力你的团队在处理细节问题也不是你的计划继续处理它。这是一个领导,一个教学与非安全利益相关者。跟进你的讲解员:

主要的挑战与脆弱性的规模和范围有关。一个巨大的数量的应用程序使用这个底层软件。鉴于孔径,威胁演员立即开始武器化这种攻击促进侵入环境。我们希望利用活动增加在未来几天或几周。有鉴于此,我们启动了以下行动:1)识别软件的存在在我们的环境中;2)评估和升级我们的可见性和监测系统和基础设施软件所在;3)尽可能减轻脆弱性与现有控件已经到位;和4)补丁尽快配合开发人员和信息技术团队。

封闭的思想

当一切都失败了,寄给你的团队一些# InfoSecTwitter模因。友情是很重要的,虽然我在这里主要是在开玩笑。但值得注意的是,这可能是第一个人造火星上的脆弱性。我不知道如何去修补的聪明才智。

我们将深入研究这些方面更深入地在未来几天。敬请期待一个更微妙的和详细的分解。