文/鄭先偉

2021年11月～12月CCERT安全投訴事件統(tǒng)計(jì)

2021年12月，Apache的Log4j2日志組件被曝出存在一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞。Log4j2屬于底層供應(yīng)鏈級(jí)別的組件，應(yīng)用非常廣泛，所有使用了這個(gè)組件的Java開源框架及基于這些框架開發(fā)的系統(tǒng)都將受到此漏洞影響。因此該漏洞的影響范圍很大，影響持續(xù)的時(shí)間也會(huì)很長(zhǎng)。對(duì)于用戶來說，難點(diǎn)不是漏洞在系統(tǒng)上的修補(bǔ)過程，而是在于如何發(fā)現(xiàn)受漏洞影響的系統(tǒng)。建議學(xué)校的管理員持續(xù)關(guān)注安全組織更新的受影響系統(tǒng)列表，并盡快對(duì)受影響的系統(tǒng)進(jìn)行補(bǔ)丁更新。為保證所有系統(tǒng)的安全，建議將排查范圍進(jìn)一步擴(kuò)散到校內(nèi)所有使用Java語言開發(fā)的系統(tǒng)及各類可能使用了Java的軟件和產(chǎn)品上。

12月安全投訴事件數(shù)量整體保持平穩(wěn)。9月出現(xiàn)的Office 0day漏洞（CVE-2021-40444）被發(fā)現(xiàn)存在補(bǔ)丁繞過利用，攻擊者正在利用它來分發(fā)Formbook惡意軟件，惡意軟件將通過郵件附件的形式發(fā)送給用戶，一旦用戶點(diǎn)擊了該附件就可能導(dǎo)致漏洞被利用，執(zhí)行腳本隨后會(huì)把Formbook惡意軟件安裝到用戶的系統(tǒng)上。建議用戶謹(jǐn)慎點(diǎn)擊郵件附件，并安裝有效的防病毒程序。

近期新增嚴(yán)重漏洞評(píng)述：

1.微軟發(fā)布了2021年12月的例行安全更新公告，共涉及漏洞數(shù)67個(gè)，其中嚴(yán)重級(jí)別7個(gè)，重要級(jí)別60個(gè)。本次更新涉及微軟的Windows、ASP.NET、Visual Studio、Azure、Defender for IoT、Microsoft Office等多個(gè)產(chǎn)品和軟件。這其中需要特別關(guān)注的是iSNS服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-43215）。iSNS是存儲(chǔ)名稱服務(wù)，它可以將通過IP網(wǎng)絡(luò)連接的存儲(chǔ)設(shè)備，像光纖存儲(chǔ)陣列一樣來進(jìn)行管理。微軟的iSNS服務(wù)器上存在一個(gè)實(shí)現(xiàn)錯(cuò)誤，如果攻擊者向受影響的iSNS服務(wù)發(fā)送特定請(qǐng)求，該錯(cuò)誤將允許遠(yuǎn)程執(zhí)行任意代碼，這可能導(dǎo)致攻擊者控制iSNS服務(wù)器，進(jìn)而控制整個(gè)存儲(chǔ)系統(tǒng)。另一個(gè)需要關(guān)注的漏洞是Windows安裝程序權(quán)限提升漏洞（CVE-2021-43883），它是之前類似漏洞（CVE-2021-41379）的補(bǔ)丁修補(bǔ)不完整導(dǎo)致的繞過攻擊。目前該漏洞攻擊代碼已經(jīng)被公布，攻擊者可以通過釣魚的方式引誘用戶運(yùn)行安裝程序，一旦用戶點(diǎn)擊了相關(guān)程序，攻擊者就可以獲得系統(tǒng)最高權(quán)限。鑒于上述漏洞帶來的風(fēng)險(xiǎn)，建議用戶盡快使用系統(tǒng)自帶的補(bǔ)丁更新功能進(jìn)行更新。

2.Apache Log4j2是一個(gè)基于Java的日志記錄組件，該組件被廣泛應(yīng)用于業(yè)務(wù)系統(tǒng)開發(fā)，用以記錄程序的輸入輸出日志。Log4j2組件（版本< log4j-2.15.0-rc2）在處理程序日志記錄時(shí)存在JNDI注入缺陷（CVE-2021-44228、CVE-2021-45046），未經(jīng)授權(quán)的攻擊者利用該漏洞，可向目標(biāo)服務(wù)器發(fā)送精心構(gòu)造的惡意數(shù)據(jù)，觸發(fā)Log4j2組件解析缺陷，遠(yuǎn)程執(zhí)行任意代碼，并獲得目標(biāo)服務(wù)器權(quán)限。由于Log4j2是底層的日志組件，它通常被嵌套到各種中間件及框架中使用，所以管理員應(yīng)該及時(shí)對(duì)自己管轄的使用Java程序開發(fā)的系統(tǒng)進(jìn)行排查。一旦發(fā)現(xiàn)存在受影響的組件應(yīng)該盡快到Apache官方下載最新的版本進(jìn)行更新。

3.Chrome瀏覽器發(fā)布了版本更新，用于解決其之前版本中的5個(gè)安全漏洞，其中包括1個(gè)已經(jīng)在野被利用的0day漏洞（CVE-2021-4102），這已經(jīng)是Chrome瀏覽器2021年修補(bǔ)的第17個(gè)在野被利用的0day漏洞。該漏洞與V8 JavaScript和WebAssembly引擎中的“釋放后使用”錯(cuò)誤有關(guān)，該錯(cuò)誤可能導(dǎo)致任意代碼執(zhí)行。建議用戶盡快使用瀏覽器自帶的更新功能進(jìn)行版本更新。

安全提示

供應(yīng)鏈安全已經(jīng)成為近期安全研究的關(guān)注重點(diǎn)。在最近幾年的攻防演練活動(dòng)中，針對(duì)供應(yīng)鏈的攻擊往往能帶來出其不意的效果，而現(xiàn)實(shí)中供應(yīng)鏈的安全問題也層出不窮。這主要是因?yàn)楣?yīng)鏈帶來的風(fēng)險(xiǎn)往往比較隱蔽，不易察覺，且不能通過傳統(tǒng)的方式（例如邊界防護(hù)）來阻止風(fēng)險(xiǎn)。

以Log4j2的漏洞來說，如果能夠明確該漏洞影響的范圍，只需及時(shí)修補(bǔ)即可。但用戶卻往往很難明確有多少系統(tǒng)受到該供應(yīng)鏈組件的影響。根據(jù)Google安全團(tuán)隊(duì)對(duì)全球最大Java包庫Maven Central的掃描，發(fā)現(xiàn)共有35863個(gè)Java包受漏洞的影響，而到底有多少開發(fā)系統(tǒng)使用了這些Java開發(fā)包則更難統(tǒng)計(jì)。因此，供應(yīng)鏈安全不僅僅是單個(gè)的漏洞問題，更是一個(gè)持續(xù)的安全管理問題，需要花費(fèi)更多的精力去追蹤和管理。