這種情況正在迅速發(fā)展,因此,我們將用掌握的最新信息定期更新CortexXpanse。如果您有任何疑問(wèn),請聯(lián)系您的客戶(hù)成功接洽經(jīng)理。
本文最初發(fā)布于太平洋時(shí)間2021年12月9日下午7:55。
- 太平洋時(shí)間2021年12月15日下午1:50第1次更新,反映一個(gè)額外CVE和額外受影響的軟件/設備。
- 太平洋時(shí)間2021年12月15日下午4:55第2次更新,反映更多受影響的軟件。
- 太平洋時(shí)間2021年12月17日11:17第3次更新,描述功能并更新有關(guān)VMware vCenter的信息。
摘要
2021年12月9日,Apache Log4j 2 日志庫中的一個(gè)高嚴重程度遠程代碼執行漏洞(俗稱(chēng)Log4Shell)被確認為在公共互聯(lián)網(wǎng)上被利用(詳見(jiàn)Unit 42博客上對漏洞的詳細分析和建議的緩解措施)。Log4j庫被大量基于Java的應用使用。它在開(kāi)源庫和產(chǎn)品中的廣泛使用,再加上利用它所需的低復雜度,使得這個(gè)漏洞特別令人擔憂(yōu)。情況在不斷發(fā)展變化。之前的建議是將Apache Log4j庫升級到2.15.0版。但是,該版本庫中的修補程序不完整,已在版本2.16.0中修復(請參閱CVE-2021-45046)。強烈建議受影響的企業(yè)盡快升級到Apache Log4j版本2.16.0或以上。您如何知道自己的企業(yè)是否受到影響?特別是如果這些漏洞嵌入使用Log4j的軟件,而不是內部開(kāi)發(fā)的應用中,會(huì )有什么影響?這篇文章解釋了我們正在做些什么來(lái)幫助您識別企業(yè)中易遭遇這種發(fā)展中的威脅的應用。
如今Cortex Xpanse的作用
Cortex Xpanse中的問(wèn)題模塊通過(guò)識別存在已知問(wèn)題的軟件的品牌、型號和版本來(lái)檢測數字攻擊面中的安全漏洞。您在Cortex Xpanse中看到的問(wèn)題是通過(guò)一系列策略產(chǎn)生的,其中包含有關(guān)漏洞性質(zhì)、嚴重性的信息,以及有關(guān)在您的網(wǎng)絡(luò )中發(fā)現漏洞的位置的相關(guān)信息,包括受影響的IP、證書(shū)、域等。
尋找潛在的Log4j漏洞
Cortex Xpanse將問(wèn)題類(lèi)型分為類(lèi)別或主題,以便于瀏覽和篩選。我們創(chuàng )建了一個(gè)新的問(wèn)題類(lèi)別,名為使用Apache Log4j 2.x的軟件(CVE-2021-44228、CVE-2021-45046),包含涵蓋可能受CVE-2021-44228和CVE-2021-45056影響的軟件的所有現有策略。
新的分組現在立刻可用,但需要注意的是,它可能未涵蓋所有受影響的軟件品牌、型號和版本,當您閱讀本文時(shí),相應列表正在增長(cháng)和變化。
接下來(lái)是什么?
以下部分列出了Cortex Xpanse可以檢測到的所有已知易受CVE-2021-44228和CVE-2021-45056影響的應用。隨著(zhù)我們的研發(fā)團隊向我們的產(chǎn)品添加檢測功能,我們將不斷更新此列表。有關(guān)最新信息,請參閱本節。
Cortex Xpanse中的Log4Shell問(wèn)題
過(guò)去幾天,大量供應商發(fā)布了建議性通告和修補程序。本節將隨著(zhù)我們向產(chǎn)品添加新策略保持更新。
Expander展示了暴露于公共互聯(lián)網(wǎng)的系統,無(wú)需安裝任何類(lèi)型的代理或傳感器。下面的一些系統未公布版本信息,或者根據我們客戶(hù)網(wǎng)絡(luò )的配置在這方面受到限制。Expander嘗試檢索或衍生版本信息,但并非在所有情況下都可以如此。
我們能夠以更高的置信度確定一些設備/應用,從而推斷它們可能使用的是受影響的Log4j版本。以下應用屬于該類(lèi)別,并已在Cortex Xpanse中自動(dòng)啟用為問(wèn)題策略:
- Apache Solr
- Cisco Identity Services Engine (ISE)
- Cisco Webex Meetings Server
- Dell Wyse Management Suite
- IBM WebSphere Application Server
- Oracle E-Business Suite
- Oracle Fusion Middleware
- SonicWall Email Security
- VMware Carbon Black EDR
- VMware Workspace ONE Access
- VMware vRealize Lifecycle Manager
其他設備/應用不提供此級別的可視性。這些應用具有可由您的團隊在策略選項卡中啟用的策略;我們鼓勵客戶(hù)根據需要將其切換到“開(kāi)”:
- Cisco Integrated Management Controller (IMC)
- Cisco Unified Computing System
- Fortinet Device
- VMware vRealize Automation Appliance
- VMware vCenter
- Elasticsearch
- Palo Alto Networks Panorama 。(請注意,目前我們正在檢測暴露在公共互聯(lián)網(wǎng)上的所有Panorama版本。但是,只有版本9.0.x、9.1.x和10.0.x受到影響。8.1.x和10.1.x系列未受影響。)
- Adobe ColdFusion
開(kāi)源掃描
網(wǎng)絡(luò )安全和基礎架構機構(CISA)已經(jīng)從開(kāi)源社區的其他成員創(chuàng )建的掃描程序中衍生了一個(gè)開(kāi)源的log4j掃描程序。此工具旨在幫助組織識別受log4j漏洞影響的潛在易受攻擊的Web服務(wù)。在GitHub上可以找到這一工具。
Cortex Xpanse Log4Shell主動(dòng)掃描
另外,Cortex Xpanse為我們的客戶(hù)提供對其基礎架構的按需掃描。Log4Shell掃描從Cortex Xpanse擁有的掃描基礎架構運行,只掃描批準的周邊目標。在實(shí)踐中,我們通常會(huì )發(fā)現,即使漏洞可以從周邊觸發(fā),被利用的計算機也不會(huì )直接面向互聯(lián)網(wǎng)(見(jiàn)下圖)。
如果我們成功利用該漏洞,我們將對Cortex Xpanse擁有的DNS服務(wù)器進(jìn)行DNS調用。我們跟蹤對DNS服務(wù)器的所有調用,并向客戶(hù)提供易受攻擊系統的詳細信息。
如果您想了解更多信息,請聯(lián)系您的客戶(hù)成功接洽經(jīng)理。
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò ))
作為全球網(wǎng)絡(luò )安全領(lǐng)導企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò ))正借助其先進(jìn)技術(shù)重塑著(zhù)以云為中心的未來(lái)社會(huì ),改變著(zhù)人類(lèi)和組織運作的方式。我們的使命是成為首選網(wǎng)絡(luò )安全伙伴,保護人們的數字生活方式。借助我們在人工智能、分析、自動(dòng)化與編排方面的持續性創(chuàng )新和突破,助力廣大客戶(hù)應對全球最為嚴重的安全挑戰。通過(guò)交付集成化平臺和推動(dòng)合作伙伴生態(tài)系統的不斷成長(cháng),我們始終站在安全前沿,在云、網(wǎng)絡(luò )以及移動(dòng)設備方面為數以萬(wàn)計的組織保駕護航。我們的愿景是構建一個(gè)日益安全的世界。更多內容,敬請登錄Palo Alto Networks(派拓網(wǎng)絡(luò ))官網(wǎng)www.paloaltonetworks.com或中文網(wǎng)站www.paloaltonetworks.cn。
