关于安全:Log4j漏洞不仅仅是修复更需要构建有效预警机制

32次阅读

共计 1805 个字符,预计需要花费 5 分钟才能阅读完成。

简介:软件的破绽有时不可避免,依据 Gartner 的相干统计,到 2025 年,30% 的要害信息基础设施组织将遇到安全漏洞。日志服务 SLS,可帮忙疾速部署一个预警机制,使得破绽被利用时能够疾速发现并及时响应。通过应用阿里云日志服务 SLS,只需两步即可实现攻打检测。

近日,被寰球广泛应用的 Java 日志框架组件 Apache Log4j 被曝出一个高危破绽,攻击者仅需一段代码就可近程管制受害者服务器,破绽波及面和危害水平堪比 2017 年的“永恒之蓝”破绽。

据外媒报道,Steam、苹果的云服务受到了影响,推特和亚马逊也蒙受了攻打,元宇宙概念游戏“Minecraft 我的世界”数十万用户被入侵。美联社评论称,这一破绽可能是近年来发现的最重大的计算机破绽。网友们也纷纷感叹,“这个破绽就像把核武器按钮分给了所有人,并且通知大家,大家轻易按按试试”,“这个时代最不缺的大略就是末世感了吧”……

一、Log4j 为何被喻为“核弹级”

引起万众瞩目、程序猿连夜加班的 Apache Log4j,是一个基于 Java 的日志框架,已于 2015 年 8 月 5 日进行保护。Log4j2 是其重构降级版本,新增的 Lookups 办法设计用于通过多种路径动静引入内部变量,被大量用于业务零碎开发,用来记录程序输入输出的日志信息,应用极为宽泛。

因为 Log4j2 版本可由 JNDl 注入实现近程代码执行,黑客无需明码就能拜访网络服务器,轻松控制目标设施。据统计,该破绽影响 6 万多风行开源软件,影响 70% 以上的企业线上业务零碎。

这一次破绽的影响面之所以如此之大,次要还是因为树大招风,log4j2 的应用面切实是太广了。一方面当初 Java 技术栈在 Web、后端开发、大数据等畛域利用十分宽泛,除了大型互联网企业,还有多如牛毛的中小企业抉择 Java。另一方面,大量像 Kafka、Elasticsearch、Flink、Solr 这样的中间件都是用 Java 语言开发的。在下面这些开发过程中,大量应用了 Log4j2 作为日志输入,一旦输入的日志有内部输出混进来,就会酿成大祸。

目前 Apache 官网曾经公布了修复计划,同时各大厂商也曾经给出了对应计划。作为该破绽的发现者,阿里云的应答绝对从容,11 月 24 日就向 Apache 官网报告了破绽,并第一工夫开始修复自家的相干受影响零碎。

二、如何无效预防此类破绽

软件的破绽有时不可避免,依据 Gartner 的相干统计,到 2025 年,30% 的要害信息基础设施组织将遇到安全漏洞,这将会导致要害信息基础设施经营进行或要害型网络物理零碎进行,而随着基础设施云化过程的放慢,一款云原生观测与剖析平台将至关重要。

日志服务 SLS,可帮忙疾速部署一个预警机制,使得破绽被利用时能够疾速发现并及时响应。通过应用阿里云日志服务 SLS,只需两步即可实现攻打检测:

1. 将 Java 程序日志接入 SLS

首先须要将业务日志接入 SLS(如果曾经接入了的可跳过)。

SLS 反对十分便捷的接入形式,这里举荐应用文件采集 Java 程序的日志,具体接入办法包含:

数据采集:日志服务反对采集服务器与利用、开源软件、物联网、挪动端、标准协议、阿里云产品等多种起源的数据。

应用极简模式采集日志:极简模式不对日志内容进行解析,每条日志都被作为一个整体被采集到日志服务中,极大简化了日志采集流程。

在日志接入后,就能够在 SLS 控制台配置关键词告警。

2. 配置关键字监控

该破绽被利用时会产生相应的日志,通过检测以下关键字,即可辨认:

“jndi:ldap://” or “jndi:rmi” or “javax.naming.CommunicationException” or “javax.naming.NamingException: problem generating object using object factory” or “Error looking up JNDI resource”

而后点击查问 / 剖析,(如果有攻打产生,会如下图):

再点击右上角的“另存为告警 -> 新版告警”:配置告警规定如下:

告诉里能够配置语音、钉钉等渠道,如下图所示:

如果日志中有关键字呈现,则会在发送语音和钉钉告诉。

以上,就是构建预警机制的一个繁难流程。最初,鉴于 Log4j 在全行业和政府应用的云服务器和企业软件中“无处不在”,因而将其更新到稳固版本 2.15.0 至关重要,同时也要增强监测伎俩,防备灾难性的破绽。

原文链接
本文为阿里云原创内容,未经容许不得转载。

正文完
 0