คุณพร้อมสำหรับการโจมตี Log2Shell ขั้นที่ 4 แล้วหรือยัง
ธันวาคม 16th, 2021 Yaron Kassner
คลื่นยักษ์จากการโจมตีซีโร่เดย์ Log4Shell ที่เพิ่งค้นพบใหม่ยังไม่ได้รับการพิจารณา หลายองค์กรรีบแพตช์เซิร์ฟเวอร์ของตน ทำให้พวกเขารอดพ้นจากการโจมตีครั้งใหญ่ที่มีการรายงาน อย่างไรก็ตาม การแพตช์เซิร์ฟเวอร์ของคุณเพียงอย่างเดียวไม่เพียงพอที่จะทำให้แน่ใจว่าสิ่งนี้สำคัญ พื้นผิวการโจมตี ได้รับการคุ้มครอง แม้ว่าการใช้งานเวอร์ชัน log4j ที่อัปเดตจะปลอดภัยจากการโจมตีในอนาคต แต่ก็ควรจัดการกับความเป็นไปได้ที่เซิร์ฟเวอร์บางตัวอาจถูกโจมตี ก่อน ไปที่แพทช์ ในบทความนี้ เราจะอธิบายความเป็นไปได้ของสถานการณ์นี้ และติดตามคำแนะนำที่นำไปปฏิบัติได้เพื่อบรรเทาผลกระทบในเชิงรุก
สารบัญ
สรุปกิจกรรม Log4Shell-In-the-Wild
Apache Log4j เป็นยูทิลิตีการบันทึกแบบโอเพ่นซอร์สที่ใช้ Java ซึ่งใช้กันอย่างแพร่หลายในแอปพลิเคชันระดับองค์กร รายงานเริ่มต้นบน Log4Shell (CVE-2021-44228) ถึงวันที่ 9 ธันวาคม รายงานเหล่านี้ตามมาอย่างรวดเร็วด้วยการพัฒนารูปแบบการหาประโยชน์ใหม่อย่างรวดเร็ว โดยรูปแบบใหม่ของการหาประโยชน์ดั้งเดิมได้รับการแนะนำอย่างรวดเร็ว - มากกว่า 60 รายการในเวลาน้อยกว่า 24 ชั่วโมง[1] นอกจากนี้ ภายใน 24 ชั่วโมงเพียงลำพัง การโจมตีองค์กรต่างๆ ทั่วโลกก็เพิ่มสูงขึ้น โดยผู้ให้บริการด้านความปลอดภัยหลายรายรายงานว่าลูกค้าส่วนใหญ่ของพวกเขาตกเป็นเป้าหมายของแฮ็กเกอร์ที่พยายามใช้ช่องโหว่นี้ [2] ปัจจุบันการเจาะระบบได้รวมเข้ากับคลังแสงของมัลแวร์ทั่วไปอย่างรวดเร็ว[3] และยังมีรายงานว่าถูกใช้โดยกลุ่มโจมตีของรัฐชาติขั้นสูง
ถือว่าละเมิด – โจมตีจนกว่าจะได้รับการพิสูจน์เป็นอย่างอื่น
ปริมาณมหาศาลของการโจมตีเหล่านี้สร้างความท้าทายให้กับผู้มีส่วนได้ส่วนเสียด้านความปลอดภัยที่ได้แก้ไขเซิร์ฟเวอร์ที่มีช่องโหว่ของตน การพัฒนาและการใช้งานอย่างรวดเร็วของการใช้ประโยชน์จากช่องโหว่หมายความว่ามีความเป็นไปได้อย่างน้อยที่เซิร์ฟเวอร์ของคุณอาจตกเป็นเป้าหมายของการเจาะช่องโหว่ก่อนที่จะมีการแพตช์ เราเชื่อมั่นอย่างยิ่งว่าแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยในกรณีนี้คือการปฏิบัติราวกับว่าเซิร์ฟเวอร์ของคุณถูกบุกรุกจนกว่าภัยคุกคามนี้จะได้รับการพิสูจน์อย่างน่าเชื่อถือ เรามาทบทวนความหมายต่างๆ ของการประนีประนอมดังกล่าว เพื่อให้เข้าใจวิธีรับมือกับภัยคุกคามนี้อย่างมีประสิทธิภาพได้ดีที่สุด
สถานการณ์ภัยคุกคามขั้นที่ 2 ที่เป็นไปได้หลังจากการประนีประนอมอย่างเงียบๆ
นอนลงจนกว่าจะถึงเวลาที่เหมาะสม
Log4Shell ช่วยให้ผู้โจมตีสามารถสร้างฐานเริ่มต้นในสภาพแวดล้อมของคุณได้ การตั้งหลักนี้ไม่ใช่เป้าหมายของผู้โจมตี แต่เป็นขั้นตอนเบื้องต้นที่สำคัญ นั่นหมายความว่าหากผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ดังกล่าวและปรากฏตัวในเซิร์ฟเวอร์ที่ใช้งานเว็บตัวใดตัวหนึ่งของคุณ ก็ไม่มีแรงจูงใจให้พวกเขาดึงความสนใจมาที่ตัวเอง แต่มีแนวโน้มที่จะทำงานต่ำและช้ามากกว่า โดยเก็บเกี่ยวข้อมูลประจำตัวเพิ่มเติม และอาจขยายไปยังเครื่องเพิ่มเติมในเครือข่ายของคุณก่อนที่จะพยายามดำเนินการตามวัตถุประสงค์ที่แท้จริงของการโจมตี เพื่อตัดสินจากการหาประโยชน์ทั่วไปที่เราเห็น มีโอกาสที่ดีที่วัตถุประสงค์นี้คือก ransomware การโจมตีที่จะปิดการดำเนินงานของคุณ แต่ยังอาจเป็นการขโมยทรัพย์สินทางปัญญาหรือ PII ของพนักงานหรือลูกค้าของคุณด้วย
ขายการเข้าถึง
อีกทางหนึ่ง ผู้โจมตีอาจไม่ใช้การเข้าถึงเครือข่ายด้วยตนเอง แต่พวกเขาสามารถขายการเข้าถึงเซิร์ฟเวอร์ให้กับบุคคลที่สามบนเว็บมืด
ผลลัพธ์สุดท้าย: การสัมผัสกับการเคลื่อนไหวด้านข้างและการแพร่กระจายของแรนซัมแวร์
ไม่ทางใดก็ทางหนึ่ง อาจมีผู้โจมตีด้วยกุญแจสู่อาณาจักรของคุณ ซึ่งก็คือชื่อผู้ใช้และข้อมูลประจำตัวของผู้ใช้มาตรฐานและผู้ดูแลระบบของคุณ สิ่งนี้ไม่ดีเพราะในขณะที่การประนีประนอมครั้งแรกสร้างความเสียหายให้กับเครื่องจักรเครื่องเดียว การเคลื่อนไหวด้านข้าง ส่วนหนึ่งที่เปลี่ยนเหตุการณ์ในท้องถิ่นให้กลายเป็นความเสี่ยงทั่วทั้งองค์กร ข้อมูลรับรองที่ถูกบุกรุกทำให้ผู้โจมตีสามารถทำเช่นนั้นได้
ผลคริสต์มาส
อย่าลืมว่าผู้โจมตีมักเลือกวันหยุดและวันหยุดสุดสัปดาห์ วันหยุดคริสต์มาสที่กำลังจะมาถึงเป็นช่วงเวลาที่เลวร้ายอย่างยิ่งที่ข้อมูลรับรองของพนักงานของคุณจะตกไปอยู่ในมือคนผิด เราเชื่อว่าผู้โจมตีทั้งสองประเภทที่อธิบายไว้ข้างต้นจะเงียบในระหว่างนี้ และรอเวลาที่เหมาะสม คริสต์มาสอาจเป็นจังหวะที่เหมาะสมที่สุด
Silverfort คำแนะนำแนวทางปฏิบัติที่ดีที่สุดสำหรับข้อมูลประจำตัวที่ถูกบุกรุก
จากทั้งหมดข้างต้น เราได้รวบรวมชุดแนวทางปฏิบัติที่ดีที่สุดที่สามารถดำเนินการได้ เพื่อเผชิญหน้าเชิงรุกกับความเป็นไปได้ที่เซิร์ฟเวอร์บางส่วนของคุณอาจถูกบุกรุกและอาจยังคงถูกโจมตีโดยผู้โจมตีที่ ใช้ประโยชน์จากช่องโหว่ Log4Shell:
- แพทช์ตั้งแต่ต้นจนจบ
- ตรวจสอบให้แน่ใจว่าระบบที่มีช่องโหว่ทั้งหมดได้รับการแพตช์โดยให้ความสนใจเป็นพิเศษกับเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ตของคุณ
-
- แยกแอปพลิเคชันที่คุณไม่สามารถแก้ไขได้ทั้งที่ระดับเครือข่ายและที่ชั้นข้อมูลประจำตัว
- ป้องกันความสามารถของผู้โจมตีในการใช้ ข้อมูลประจำตัวที่ถูกบุกรุก สำหรับการเข้าถึงที่เป็นอันตรายเพิ่มเติม
-
- ต้องการ ไอ้เวรตะไล สำหรับบัญชีผู้ดูแลระบบทั้งหมดสำหรับทรัพยากรทั้งหมดในสภาพแวดล้อม นอกจากนี้ ตรวจสอบให้แน่ใจว่าการป้องกัน MFA นำไปใช้กับอินเทอร์เฟซการเข้าถึง รวมถึงยูทิลิตีบรรทัดคำสั่ง เช่น PsExec, PowerShell เป็นต้น และไม่ใช่แค่การเข้าสู่ระบบ RDP และเดสก์ท็อปเท่านั้น
- จำกัด บัญชีบริการ เพื่อใช้งานจากคอมพิวเตอร์ที่ได้รับอนุญาตเท่านั้น คุณควรพิจารณาจากพฤติกรรมที่คาดเดาได้และทำซ้ำๆ ของบัญชีเหล่านี้
- ตรวจสอบสภาพแวดล้อมของคุณอย่างใกล้ชิดเพื่อหาเหตุการณ์ที่น่าสงสัยและเป็นอันตราย เช่น การร้องขอการเข้าถึงพร้อมกันที่เพิ่มขึ้นอย่างรวดเร็วจากผู้ใช้รายเดียว หรือการเบี่ยงเบนอื่นใดจากกิจกรรมมาตรฐานของบัญชีผู้ใช้ของคุณ
การปฏิบัติตามคำแนะนำเหล่านี้จะเพิ่มความยืดหยุ่นในการประนีประนอมตาม Log4Shell ที่มีอยู่ก่อน และจะทำให้ผู้โจมตีไม่สามารถใช้ประโยชน์จากข้อมูลรับรองที่ถูกขโมยเพื่อการเข้าถึงที่เป็นอันตรายต่อไป
พื้นที่ Silverfort แพลตฟอร์ม Unified Identity Protection ช่วยให้ผู้ใช้สามารถขยายได้ การรับรองความถูกต้องตามความเสี่ยง และ MFA แก่ผู้ใช้ บริการ หรือระบบใด ๆ โดยให้การป้องกันเชิงรุกจากการโจมตีตามข้อมูลประจำตัวที่ใช้ข้อมูลประจำตัวที่ถูกบุกรุกเพื่อเข้าถึงทรัพยากรเป้าหมาย ซึ่งรวมถึงการป้องกัน MFA แบบ end-to-end เช่นเดียวกับการตรวจสอบการตรวจสอบความถูกต้องทั้งหมดอย่างต่อเนื่องทั้งภายในองค์กรและในระบบคลาวด์ เรียนรู้เพิ่มเติมเกี่ยวกับ Silverfort โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.
