使用Cortex Xpanse管理攻击面上的Apache Log4j

2021年12月9日，Apache Log4j 2 日志库中的一个高严重程度远程代码执行漏洞（俗称Log4Shell）被确认为在公共互联网上被利用（详见Unit 42博客上对漏洞的详细分析和建议的缓解措施）。Log4j库被大量基于Java的应用使用。它在开源库和产品中的广泛使用，再加上利用它所需的低复杂度，使得这个漏洞特别令人担忧。情况在不断发展变化。之前的建议是将Apache Log4j库升级到2.15.0版。但是，该版本库中的修补程序不完整，已在版本2.16.0中修复（请参阅CVE-2021-45046）。强烈建议受影响的企业尽快升级到Apache Log4j版本2.16.0或以上。您如何知道自己的企业是否受到影响？特别是如果这些漏洞嵌入使用Log4j的软件，而不是内部开发的应用中，会有什么影响？这篇文章解释了我们正在做些什么来帮助您识别企业中易遭遇这种发展中的威胁的应用。

如今Cortex Xpanse的作用

Cortex Xpanse中的问题模块通过识别存在已知问题的软件的品牌、型号和版本来检测数字攻击面中的安全漏洞。您在Cortex Xpanse中看到的问题是通过一系列策略产生的，其中包含有关漏洞性质、严重性的信息，以及有关在您的网络中发现漏洞的位置的相关信息，包括受影响的IP、证书、域等。

寻找潜在的Log4j漏洞

Cortex Xpanse将问题类型分为类别或主题，以便于浏览和筛选。派拓网络创建了一个新的问题类别，名为使用Apache Log4j 2.x的软件（CVE-2021-44228、CVE-2021-45046），包含涵盖可能受CVE-2021-44228和CVE-2021-45056影响的软件的所有现有策略。

新的分组现在立刻可用，但需要注意的是，它可能未涵盖所有受影响的软件品牌、型号和版本，当您阅读本文时，相应列表正在增长和变化。

接下来是什么？

以下部分列出了Cortex Xpanse可以检测到的所有已知易受CVE-2021-44228和CVE-2021-45056影响的应用。随着派拓网络的研发团队向产品添加检测功能，派拓网络将不断更新此列表。有关最新信息，请参阅本节。

Cortex Xpanse中的Log4Shell问题

过去几天，大量供应商发布了建议性通告和修补程序。本节将随着派拓网络向产品添加新策略保持更新。

Expander展示了暴露于公共互联网的系统，无需安装任何类型的代理或传感器。下面的一些系统未公布版本信息，或者根据派拓网络客户网络的配置在这方面受到限制。Expander尝试检索或衍生版本信息，但并非在所有情况下都可以如此。

派拓网络能够以更高的置信度确定一些设备/应用，从而推断它们可能使用的是受影响的Log4j版本。以下应用属于该类别，并已在Cortex Xpanse中自动启用为问题策略：

• Apache Solr
• Cisco Identity Services Engine （ISE）
• Cisco Webex Meetings Server
• Dell Wyse Management Suite
• IBM WebSphere Application Server
• Oracle E-Business Suite
• Oracle Fusion Middleware
• SonicWall Email Security
• VMware Carbon Black EDR
• VMware Workspace ONE Access
• VMware vRealize Lifecycle Manager

其他设备/应用不提供此级别的可视性。这些应用具有可由您的团队在策略选项卡中启用的策略；派拓网络鼓励客户根据需要将其切换到“开”：

• Cisco Integrated Management Controller （IMC）
• Cisco Unified Computing System
• Fortinet Device
• VMware vRealize Automation Appliance
• VMware vCenter 
• Elasticsearch
• Palo Alto Networks Panorama。（请注意，目前派拓网络正在检测暴露在公共互联网上的所有Panorama版本。但是，只有版本9.0.x、9.1.x和10.0.x受到影响。8.1.x和10.1.x系列未受影响。）
• Adobe ColdFusion

开源扫描

网络安全和基础架构机构（CISA）已经从开源社区的其他成员创建的扫描程序中衍生了一个开源的log4j扫描程序。此工具旨在帮助组织识别受log4j漏洞影响的潜在易受攻击的Web服务。在GitHub上可以找到这一工具。

Cortex Xpanse Log4Shell主动扫描

另外，Cortex Xpanse为派拓网络的客户提供对其基础架构的按需扫描。Log4Shell扫描从Cortex Xpanse拥有的扫描基础架构运行，只扫描批准的周边目标。在实践中，我们通常会发现，即使漏洞可以从周边触发，被利用的计算机也不会直接面向互联网（见下图）。

如果成功利用该漏洞，派拓网络将对Cortex Xpanse拥有的DNS服务器进行DNS调用。跟踪对DNS服务器的所有调用，并向客户提供易受攻击系统的详细信息。