警惕!Apache Log4j漏洞的影响已蔓延至工业领域
时间:2021-12-16 作者:安帝科技
Log4j是一个开源Java日志库,由Apache Foundation开发,部署在企业应用程序和云服务中。最近火爆网络安全界的Log4j漏洞编号CVE-2021-44228 并被称为“Log4Shell”,这是一个未经身份验证的远程代码执行(RCE)漏洞,允许在使用Log4j 2.0-beta9至2.14.1的系统上进行完整的系统接管。Apache已经发布了Log4j 2.15.0来解决该漏洞。就在全球网络安全机构试图修补或缓解这个号称史上最严重漏洞之际,Apache Log4j的另一个漏洞于12月14日爆出,该漏洞编号为CVE 2021-45046。根据CVE对该漏洞的描述,原因是Apache Log4j 2.15.0中针对CVE-2021-44228的修复“在某些非默认配置中不完整”,将导致攻击者……使用JNDI查找模式制作恶意输入数据,从而导致拒绝服务(DOS)攻击。Apache已经针对这个问题发布了一个补丁Log4j 2.16.0。
更令人不安的是,Apache Log4j漏洞的严重性、广泛性已经在工业领域开始显现,自动化厂商开始识别其产品线中存在此漏洞的产品和组件,发现波及面非常之大。工业网络安全厂商在监测中已经发现大量的漏洞利用尝试和成功利用的现象。主要国家的网络安全监管机构已纷纷发布预警,要求限期修复漏洞。
工业自动化厂商加紧排查受影响产品
Log4j是用于跨行业OT网络的大量应用程序的日志记录实用程序。工业自动化供应商已经开始加紧排查其产品受影响程度并修补他们的产品,同时敦促用户应用这些更新,这些举措也突显了及时解决该漏洞问题的紧迫性和广泛性。
西门子当地时间12月13日发现其部分产品线中存在Apache Log4j漏洞,未经身份验证的远程攻击者可能会利用该漏洞在易受攻击的系统上执行代码。该公司15日更新的受上述两个漏洞影响的产品多达35种,包括E-Car OC Cloud Application、EnergyIP、Industrial Edge Management App (IEM-App)、IndustrialEdge Management OS (IEM-OS)、Industrial Edge ManagementHub、LOGO! Soft Comfort、Mendix、MindSphere、Operation Scheduler、Siguard DSA、SIMATIC WinCC v7.4、Siveillance Command、Siveillance Control Pro和Siveillance Vantage等。
除了确定各种缓解措施外,西门子还建议用户使用适当的机制保护对设备的网络访问。为了在受保护的IT环境中操作设备,西门子建议根据西门子工业安全操作指南配置环境。
另外一家自动化巨头施耐德电气12月13日在一份咨询报告中表示,将继续评估Log4j漏洞如何影响其产品,并将在特定产品的缓解信息可用时通过其网络安全支持门户向客户提供更新。目前尚未列出其受此漏洞影响的产品清单。
施耐德电气还建议客户使用IoT/OT感知网络检测和响应(NDR)解决方案和SIEM/SOAR解决方案来自动发现和持续监控设备的异常或未经授权的行为,例如与陌生的本地或远程主机的通信。
Prosys OPC公司13日发布了公告,列出了受影响的产品。目前已经更新了其受影响的OPCUA模拟服务器、Modbus服务器、Historian、浏览器和监视器产品。
罗克韦尔自动化15日的最新调查评估表明表明,目前已有8款产品受到漏洞的影响,其影响评估工作仍在进行,将为供应商和合作伙伴提供新的信息。
卡耐基梅隆大学大学的计算机应急响应组织(https://www.kb.cert.org/)为log4j迄今为止的三个漏洞(包括CVE-2021-4104)创建了可能影响的厂商清单,在1555家厂商中,罗克韦尔自动化、西门子已在列,标记为明确受CVE-2021-44228的影响。
工业网络安全公司监测已发现漏洞利用攻击
工业网络安全公司Dragos分析的数据发现,Log4j漏洞具有供应商无关性,会影响专有和开源软件,将使多个行业面临远程攻击,包括电力、水、食品和饮料、制造业和运输业。
Dragos在其博客文章中称,它“基于库的普遍性和快速增长的利用方法,高度自信地评估此漏洞将影响运营技术(OT)网络,” Dragos的威胁情报平台已经观察到对Log4j漏洞的利用尝试和成功利用,并且基于这些观察已经对早期利用尝试中使用的恶意域名进行打击。
Dragos称,Log4j存在于许多工业应用程序中使用的开源存储库中,例如过程控制的对象链接和嵌入(OPC)基金会的统一架构(UA)Java Legacy。另外,攻击者可以利用在其代码库中使用Java的专有监督控制和数据采集(SCADA)和能源管理系统(EMS)中的这个漏洞。
Dragos表示,主要OT供应商已开始披露此漏洞对其软件和设备的影响,随着供应商排查清楚其产品线中Log4j的使用情况后,更多不利的信息将被披露。但更为不幸的是,Log4j漏洞的性质使得识别给定网络上可能受影响的服务器富有挑战性。虽然用Java编写的面向网络的服务明显面临风险,但该漏洞在技术上可以影响处理和记录用户提供的数据的任何服务器(包括后端资源)。
虽然轻量级目录访问协议(LDAP)攻击向量获得了最初的大部分关注,但Dragos也观察到了使用域名系统 (DNS)和远程方法调用(RMI)的攻击企图,以及潜在的协议和漏洞利用方法列表,将继续增长。对于实施了严格分段的OT网络,这些协议的风险将在一定程度上得到缓解;然而,配置用于远程访问的SCADA/EMS等OT元素可能会利用LDAP进行口令管理,因此容易受到攻击,特别是被网络中横向移动的对手所利用。与商用信息技术 (IT) 网络隔离较弱的OT网络将受此漏洞的影响最大,尤其是因为发现了其他协议来启用漏洞利用。
另一家工业网络安全公司Nozomi Networks则在12月14日表示,该漏洞的本质在于log4j实用程序默认启用了消息查找替换。因此,攻击者可以制作一个特殊请求,使该实用程序远程下载并执行有效载荷。其他协议如DNS、RMI和LDAPS也可能被滥用。这种行为已在最近发布的Apache Log4j 2.15.0中得到修复。
知名工业网络安全公司claroty在其14日发布的博文中,评估了漏洞对SCADA、ICS和OT的影响,其安全研究团队Tem82还致力于创建更多概念验证来复现漏洞,并期望有自动化供应商合作伙伴可以使用这些概念验证来测试他们的产品是否易受攻击。Team82的PoC在 VMwarevCenter成功触发了CVE-2021-44228。
Tenable在公司博客中写道,发现Apache Log4j软件中的一个关键缺陷对网络安全行业来说简直就是“福岛”时刻。他们每分钟都在发现以某种方式使用Log4j的新应用程序。它不仅会影响用户构建的代码,还会影响现有的第三方系统。Tenable公司的首席技术官Deraison称,这个漏洞最终可能使攻击者能够利用作为可靠安全实践的日志记录:组织越安全,记录的每个操作就越多,日志数据池越大,使用Log4j就越多,被利用的可能性就越大。
网络安全监管机构发出警报
Log4j漏洞最早的官方预警由新西兰国家CERT发出,此后美国、英国、澳大利亚、加拿大等国有的网络安全管理机构均发出警报。美国网络安全与安全局(CISA)则专门指出了该漏洞可能对OT安全的影响。CISA12月13日表示,Log4j广泛用于各种消费者和企业服务、网站和应用程序,以及运营技术(OT)产品,以记录安全和性能信息。该机构发现未经身份验证的远程黑客可以利用此漏洞来控制受影响的系统。安全机构已要求供应商使用Log4j识别、缓解和修补受影响的产品,并将包含此漏洞的产品告知最终用户,并敦促他们优先考虑软件更新。
CISA表示,使用RCE漏洞,受影响的Log4j版本包含Java命名和目录接口(JNDI)功能,这些功能“无法抵御攻击者控制的LDAP(轻量级目录访问协议)和其他JNDI相关端点”。攻击者可以通过向易受攻击的系统提交特制请求,导致该系统执行任意代码来利用此漏洞。该请求允许对手完全控制系统。然后,攻击者可以窃取信息、启动勒索软件或进行其他恶意活动。
美国CISA 已于当地时间12月14日在已知被利用漏洞目录中添加了13个新漏洞,其中包括Apache Log4j的漏洞。同时要求联邦机构在2021年12月24日之前解决Log4j库中的关键Log4Shell漏洞。
安帝科技对工业企业的安全建议
鉴于log4j漏洞影响的广泛性和严重性,加之排查受影响资产的艰巨性和挑战性,工业企业务必认清本次漏洞响应对抗的持续性和长期性。
1. 立即排查所有IT系统和OT系统中应用Log4j的详细情况,严格监测有漏洞资产的访问控制,尽快更新到Apache发布的最新版本 2.16.0。
2. 实时关注自动化供应商的安全咨询信息,及时掌握受影响产品种类、型号、版本信息,以及厂商发布的补丁,第一时间协调更新。
3. 加强网络卫生检查,严格落实IT网络和OT网络的分区分域隔离。
4. 调查可能受影响系统受到攻击的证据。监测分析网络和终端,查看服务器日志,查看文件系统以查找新文件和可疑文件创建的迹象。
参考资源:
1.https://claroty.com/2021/12/14/blog-research-what-you-need-to-know-about-the-log4j-zero-day-vulnerability/
2.https://www.prosysopc.com/blog/log4shell-attack/
3.https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1133605
4.https://industrialcyber.co/vndrs/siemens/
5.https://industrialcyber.co/vndrs/schneider-electric/
6.https://cert-portal.siemens.com/productcert/pdf/ssa-661247.pdf
7.https://www.dragos.com/blog/industry-news/implications-of-log4j-vulnerability-for-ot-networks/