Log4Shell 对您的安全性的长尾影响

许多媒体都关注 Log4j 漏洞对互联网托管服务的影响。 那里的伤害不容忽视,它被吹捧为 10 多年来该行业遭受的最严重漏洞之一.

运行许多这些互联网托管服务的大公司拥有大量资源。 这意味着修复这些漏洞的补丁正在开发中,并将在适当的时候完成。

然而,这种漏洞的影响在宏伟的计划中被低估了。 数十亿台设备运行 Java 应用程序(包括我们在家中使用的设备)。 如果其中任何一个依赖于易受攻击的 Log4j 版本,那么攻击者找到利用设备上的漏洞的向量只是时间问题。

我们系统上安装的许多此类应用程序很可能不再维护,即使有修复,用户也不太可能自动修补到安全版本。 此外,许多用户不知道他们安装的应用程序中甚至存在这样的漏洞。 他们的设备可能会在很长一段时间内易受攻击。

重现漏洞利用

Minecraft 中广为人知的漏洞允许攻击者通过将有效负载粘贴到 Minecraft 聊天中来在您的设备上运行恶意代码,在此处引发了调查 ExpressVPN 我们可以做些什么来更好地保护消费者。

我们在实验室设置中重现了该漏洞(如上面的视频所示),并确认这确实是 Minecraft 客户端易受攻击版本的问题。 在 LDAP 端口上对攻击者的服务器进行了回调,并在用户的计算机上执行了恶意负载。 让我们担心的是 如果您碰巧正在运行易受 Log4Shell 攻击的应用程序,攻击者可以远程控制您的计算机。

我们深入挖掘,发现了其他受 Log4j 漏洞影响的用户应用程序,其中包括 硬件爱好者使用 Arduino IDE 对他们的微控制器进行编程, 这 开源测试工具 OWASP ZAP,甚至是开源逆向工程工具 吉德拉. 我们预计在未来几周甚至几个月内将有更多供应商宣布类似的漏洞,这意味着许多其他应用程序将在此之前保持未修补状态。

我们预测会有大量威胁行为者试图利用用户设备上易受 Log4Shell 影响的客户端应用程序,因为许多人将继续安装易受攻击的应用程序。 鉴于此,我们于 2021 年 12 月 14 日在 ExpressVPN 做出了一个迅速、果断的决定,根据端口号阻止出站 LDAP 流量,并将阻止推广到我们所有的消费者。 这充当保护层,以防止引入更有害的第二阶段有效负载,这些有效负载允许攻击者在您的计算机上运行任意命令。

ExpressVPN的缓解技术

保护层作为第一道防线

2021 年 12 月 14 日格林威治标准时间 09:30 实施了新的保护层,并在所有 ExpressVPN 全球 VPN 服务器。 这意味着每个使用 ExpressVPN 在他们的设备或路由器上享有保护 Apache Log4j 漏洞。 这种缓解是服务器端的,因此不需要用户采取任何行动。 提供更多详细信息 这里.

有了保护措施,攻击可以得到缓解,因为默认有效负载会阻止 LDAP 出站流量。 我们可以看到下面的防御,并且在连接到攻击者服务器时,攻击被成功阻止,没有任何回调到攻击者服务器的迹象 ExpressVPN.

是 ExpressVPN 应用受影响?

没有任何一个 ExpressVPN 客户端应用程序包含 Log4j 作为依赖项。 未采取任何行动 ExpressVPN 此时需要用户。

我能做些什么来保护自己?

查看您的应用

作为优先事项,检查您自己设备上安装的应用程序并删除不再使用的所有应用程序。 接下来,对于您设备上的应用程序,请花时间查看已安装的版本,并确保在新版本可用时对其进行更新。 如果安装的版本是非官方版本,请考虑删除应用程序以降低潜在风险。

防火墙规则

我们还建议部署以下防火墙规则作为基线防御,如果攻击者在其有效负载中使用默认端口,这将防止利用。

  • 阻止 LDAP 端口(389、1389、3268、3269)上的出站 TCP/UDP
  • 阻止 RMI 端口上的出站 TCP/UDP (1099)

连接到的用户 ExpressVPN 无需采取任何进一步行动即可获得上述基线保护。

检查防御

使用上述防御的用户(或连接到 ExpressVPN) 可以通过以下方式检查防御方是否有效 设置 Rust 环境 并安装一个 简单的 Rust 应用程序,它查询云托管的检查器并确保上面列出的出站端口被阻止:

cargo install log4j-portscan
log4j-portscan

您可以在下面看到打开和关闭 VPN 的差异。 部署自己的规则的用户也可以使用下面的工具来执行检查。

保持警惕

了解和了解该漏洞对安装在用户设备上的 Log4Shell 客户端应用程序的广泛影响是缩短此漏洞长尾的关键。 我们鼓励所有用户留意更新并努力应用供应商补丁。

我们进一步邀请更大的安全社区对此进行更深入的研究,并将在这些应用程序上发现的漏洞提交给软件供应商运行的相应负责任的披露程序。