卡巴斯基透露:Log4Shell漏洞可能影响全球近10%的ICS 系统
知名网络安全公司卡巴斯基的研究人员根据对遥测数据的分析透露,全球至少有十分之一的工业控制系统 (ICS) 可能受到Log4Shell漏洞的影响,因为它们使用易受攻击的Java软件。卡巴斯基公司还确定,操作技术(OT)系统似乎几乎与IT 系统一样容易受到Log4Shell漏洞的影响,这从 ICS 产品供应商最近发布的许多漏洞公告中可以看出。
Apache基金会在过去几周发布了对其Log4j库的多个更新,以应对其基于Java的日志库中的多个漏洞,该库用于各种消费者和企业服务、网站、应用程序和OT产品。Log4Shell漏洞于12月9日被检测到,其他Log4j 漏洞也已被编号。另一个Log4j更新已经公开发布,修补了在2021年最后一周发现的代码执行漏洞。现在建议用户升级到Log4j 2.3.2 for Java 6、2.12.4 for Java 7或2.17.1 for Java 8。
卡巴斯基表示,Log4Shell漏洞的首要问题在于其影响的规模之大,因为它在不同程度上影响了大量产品,每一种都以不同的方式,识别网络上的所有易受攻击的资产可能是一项挑战,尤其是在地理上大型工业组织的分布式异构环境。
第二个问题是,没有一个简单的解决方案适合所有组织及其所有易受攻击的系统。虽然有些系统可能允许快速修补,但许多其他系统很难快速修补,必须采取各种缓解措施来保护它们。
第三个问题是,这不是影响特定产品的漏洞,甚至不是影响在不同终端产品(例如许可服务)中以或多或少相同方式使用的现成通用 OEM 组件的漏洞。
事实证明,修复技术本身的漏洞也很困难,因为在开发人员发布补丁几天后,发现了一个新的攻击媒介。
卡巴斯基关于工业企业Log4Shell漏洞的报告还发现,许多易受攻击的产品广泛应用于电力领域,包括发电设施的分布式控制系统、监控现场设备(变压器)的产品、资产管理产品、产品用于控制电动汽车充电站,系统运营商的各种产品,以及其他配套产品,其中许多可以与SCADA(监督控制和数据采集)控制系统架构集成。
卡巴斯基说,利用 Log4Shell 漏洞,开发人员允许用户定义要记录的内容,以及记录数据的方式(以何种格式)和从什么来源获取。存储在远程位置的Java类可用作数据源。还可以使用JNDI(Java 命名和目录接口)查找和找到该类,JNDI是一个统一接口,旨在与各种目录服务一起使用,例如 LDAP(轻量级目录访问协议)、DNS(域名系统)和RMI(远程方法调用)。
因此,恶意行为者可能会将特制的Log4j JNDI 查找字符串传递给易受攻击的应用程序,因为这并不重要。卡巴斯基表示:“如果传递的字符串包含存储在攻击者控制的服务器上的恶意 java 类的路径,那么攻击者就需要确保从服务器下载恶意代码并在易受攻击的应用程序的上下文中执行。” .
Log4Shell 漏洞还严重影响工程中的计算机和组织,例如工业企业广泛用于开发新产品的开发团队建模、仿真和协作产品,以及 PLM(产品生命周期管理)和 CAD/CAM系统,这些系统不仅用于设计和开发新产品,还用于生产过程。该漏洞还影响许多建筑管理系统,包括物理安全系统。
卡巴斯基还认为,“由于广泛使用的通用组件,例如许多ICS产品中使用的流行许可证管理软件,许多ICS可能容易受到攻击(不幸的是,产品供应商尚未发布补丁或安全公告,由于负责,我们无法提供更多详细信息)披露考虑)。OPC UA协议栈的一些Java实现也容易受到攻击。
该公司还发现,目前难以评估的OT系统的其他风险领域与使用设施运营不需要的易受攻击的软件有关,并且这些软件的安装可能经常违反信息安全政策。它还警告了工业物联网 (IIoT) 和智能能源应用,事实证明,其中许多应用是使用易受攻击的技术开发的。
卡巴斯基表示,尽管仍然很难说易受攻击的 ICS 系统在多大程度上暴露于潜在攻击,但他们希望,与IT基础设施不同,大多数易受攻击的 OT系统不能接受来自不受信任来源的输入。
参考链接:
https://industrialcyber.co/threats-attacks/log4shell-vulnerability-may-have-affected-close-to-10-percent-of-ics-systems-globally/
