CVE-2021-44228漏洞是什么?
CVE-2021-44228(参见CVE-2021-44228 )是一个于 2021 年 12 月 9日公布的零日漏洞,它会影响使用广泛应用的 log4j v2 库的应用程序。该漏洞允许攻击者远程在目标系统上执行代码。
CVE-2021-44228 被认为是一个比较容易利用的漏洞,攻击者只需能够远程与受影响的目标系统交互,并利用该交互将攻击者控制的字符串写入目标系统日志文件(使用受影响版本的 logj4),即可成功发起攻击。受影响的 log4j 版本包括 2.0-beta9 到 2.14。需要注意的是,2.15 版本虽然被宣布为 CVE-2021-44228 的修复版本,但由于某些攻击途径未被修复(参见CVE-2021-45046),因此未能完全解决问题。此外,2.16 版本还被发现存在资源耗尽漏洞(参见CVE-2021-45105)。建议尽快升级到 Log4j 2.17 版本。
为了更好地理解漏洞利用的实施场景,请参考瑞士政府提供的以下示例,其中详细说明了攻击是如何实现的。在这个例子中,攻击者使用 log4j 的 JNDI 插件能够识别的语法,将 HTTP 请求中的 User-Agent 字段设置为攻击者 LDAP 服务器的地址。User-Agent 字段的值通常会被记录。该值的语法 (${jndi:*}) 会触发 log4j JNDI 插件执行查找操作。在本例中,查找类型为 LDAP,但已证实 RMI 查找类型也可用于有效的攻击。
“log4j JNDI 攻击” log4j_attack.png。针对流行 Java 库 Log4j 的零日漏洞利用。2021 年 12 月 18 日。瑞士政府计算机应急响应小组 (GovCERT.ch) https://govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/
攻击者代码在目标系统上执行的难易程度(步骤 5)取决于目标系统中使用的 Java 版本。运行 Java 版本低于 8u191、7u201、6u211 和 11.01 的应用程序很容易被利用,因为它们默认通过 JNDI 加载远程类;但是,即使使用这些版本以及后续的 Java 版本,该漏洞仍然可能被利用。
CVE-2021-44228 为什么重要?
CVE-2021-44228 拥有最高的CVSS 评分。这意味着即使是技术水平不高的远程攻击者也能轻易利用此漏洞,并且漏洞利用会对目标系统(以及可能相邻的其他系统)的机密性、完整性和可用性造成极其严重的损害。
AMI是如何解决Log4j2漏洞的?
漏洞披露后,AMI的产品安全事件响应团队(PSIRT)立即启动,并向位于全球不同地区的AMI产品团队发布了漏洞内部披露信息,每个团队的任务是调查其产品是否受到CVE-2021-44228的影响。借助PSIRT提供的工具自动检测代码中的漏洞,各产品团队彻底完成了调查,并将调查结果报告给了PSIRT。在调查受影响产品的同时,AMI的MIS部门也着手识别任何可能存在漏洞的内部系统。PSIRT将AMI产品团队和MIS团队的调查结果汇总成咨询文件,并发布给客户,详细说明了每个项目以及客户用于访问版本和产品文档的AMI系统的受影响情况。
AMI 不受 Log4j2 漏洞影响
AMI 自豪地宣布,所有产品和面向客户的系统均未受到 CVE-2021-44228 的影响。AMI 致力于开发和维护业界领先的安全软件开发生命周期 (SSDLC) 实践和流程。AMI 对 CVE-2021-44228 的快速响应正是这一承诺的体现。AMI 对网络安全威胁的支持并不止于发布安全公告。
如果 AMI 客户对 CVE-2021-44228 有任何疑问或疑虑,请联系您所在地区的 AMI 代表。
