2021年12月,Apache的Log4j2日志组件被曝出存在一个严重的远程代码执行漏洞。Log4j2属于底层供应链级别的组件,应用非常广泛,所有使用了这个组件的Java开源框架及基于这些框架开发的系统都将受到此漏洞影响。因此该漏洞的影响范围很大,影响持续的时间也会很长。对于用户来说,难点不是漏洞在系统上的修补过程,而是在于如何发现受漏洞影响的系统。建议学校的管理员持续关注安全组织更新的受影响系统列表,并尽快对受影响的系统进行补丁更新。为保证所有系统的安全,建议将排查范围进一步扩散到校内所有使用Java语言开发的系统及各类可能使用了Java的软件和产品上。
12月安全投诉事件数量整体保持平稳。9月出现的Office0day漏洞(CVE2021-40444)被发现存在补丁绕过利用,攻击者正在利用它来分发Formbook恶意软件,恶意软件将通过邮件附件的形式发送给用户,一旦用户点击了该附件就可能导致漏洞被利用,执行脚本随后会把Formbook恶意软件安装到用户的系统上。建议用户谨慎点击邮件附件,并安装有效的防病毒程序。
2021年11月-12月CCERT安全投诉事件统计
近期新增严重漏洞评述:
1.微软发布了2021年12月的例行安全更新公告,共涉及漏洞数67个,其中严重级别7个,重要级别60个。本次更新涉及微软的Windows、ASP.NET、Visual Studio、Azure、Defenderfor IoT、Microsoft Office等多个产品和软件。这其中需要特别关注的是iSNS服务远程代码执行漏洞
(CVE-2021-43215)。iSNS是存储名称服务,它可以将通过IP网络连接的存储设备,像光纤存储阵列一样来进行管理。微软的iSNS服务器上存在一个实现错误,如果攻击者向受影响的iSNS服务发送特定请求,该错误将允许远程执行任意代码,这可能导致攻击者控制iSNS服务器,进而控制整个存储系统。另一个需要关注的漏洞是Windows安装程序权限提升漏洞(CVE-2021-43883),它是之前类似漏洞(CVE-2021-41379)的补丁修补不完整导致的绕过攻击。目前该漏洞攻击代码已经被公布,攻击者可以通过钓鱼的方式引诱用户运行安装程序,一旦用户点击了相关程序,攻击者就可以获得系统最高权限。鉴于上述漏洞带来的风险,建议用户尽快使用系统自带的补丁更新功能进行更新。
2.ApacheLog4j2是一个基于Java的日志记录组件,该组件被广泛应用于业务系统开发,用以记录程序的输入输出日志。Log4j2组件(版本<log4j-2.15.0rc2)在处理程序日志记录时存在JNDI注入缺陷(CVE-2021-44228、CVE-202145046),未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,远程执行任意代码,并获得目标服务器权限。由于Log4j2是底层的日志组件,它通常被嵌套到各种中间件及框架中使用,所以管理员应该及时对自己管辖的使用Java程序开发的系统进行排查。一旦发现存在受影响的组件应该尽快到Apache官方下载最新的版本进行更新。
3.Chrome浏览器发布了版本更新,用于解决其之前版本中的5个安全漏洞,其中包括1个已经在野被利用的0day漏洞(CVE-20214102),这已经是Chrome浏览器2021年修补的第17个在野被利用的0day漏洞。该漏洞与V8JavaScript和WebAssembly引擎中的“释放后使用”错误有关,该错误可能导致任意代码执行。建议用户尽快使用浏览器自带的更新功能进行版本更新。
安全提示:
供应链安全已经成为近期安全研究的关注重点。在最近几年的攻防演练活动中,针对供应链的攻击往往能带来出其不意的效果,而现实中供应链的安全问题也层出不穷。这主要是因为供应链带来的风险往往比较隐蔽,不易察觉,且不能通过传统的方式(例如边界防护)来阻止风险。
以Log4j2的漏洞来说,如果能够明确该漏洞影响的范围,只需及时修补即可。但用户却往往很难明确有多少系统受到该供应链组件的影响。根据Google安全团队对全球最大Java包库MavenCentral的扫描,发现共有35863个Java包受漏洞的影响,而到底有多少开发系统使用了这些Java开发包则更难统计。因此,供应链安全不仅仅是单个的漏洞问题,更是一个持续的安全管理问题,需要花费更多的精力去追踪和管理。
作者:郑先伟(中国教育和科研计算机网应急响应组)
责编:项阳
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。