主动扫描：Log4j 易受 RCE 攻击

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

受支持的 Log4j 漏洞扫描工具会在 HTTP 参数、网址和文本字段中注入经过混淆处理的 JNDI 查找，并对扫描工具控制的网域进行回调。发现经过去混淆处理的网域的 DNS 查询时，系统会生成此发现结果。只有当 JNDI 查找成功时，才会发生此类查询，这表示活跃的 Log4j 漏洞。

如何应答

如需响应此发现结果，请执行以下操作：

第 1 步：查看发现结果详情

1. 按照查看发现结果详情中所述，打开 Active Scan: Log4j Vulnerable to RCE 发现结果。系统会打开发现结果详细信息面板，以显示摘要标签页。

2. 在摘要标签页上，查看以下部分中的信息：

   • 检测到的内容
   • 受影响的资源，尤其是以下字段：
     • 资源全名：易受 Log4j RCE 攻击的 Compute Engine 实例的完整资源名称。
   • 相关链接，尤其是以下字段：
     • Cloud Logging URI：指向 Logging 条目的链接。
     • MITRE ATT&CK 方法：指向 MITRE ATT&CK 文档的链接。
     • 相关发现结果：指向任何相关发现结果的链接。

3. 在发现结果的详情视图中，点击 JSON 标签页。

4. 在 JSON 中，请注意以下字段。

   • properties
     • scannerDomain：扫描工具在 JNDI 查找过程中使用的网域。这会表明哪个扫描工具发现了漏洞。
     • sourceIp：用于进行 DNS 查询的 IP 地址
     • vpcName：在其中执行 DNS 查询的实例上的网络名称。

第 2 步：检查日志

1. 在 Google Cloud 控制台中，点击第 1 步的 Cloud Logging URI 字段中的链接，以前往 Logs Explorer。

2. 在加载的页面上，检查 httpRequest 字段中是否存在 ${jndi:ldap:// 等字符串令牌，这可能表示潜在的漏洞利用尝试。

   请参阅 Logging 文档中的 CVE-2021-44228：检测 Log4Shell 漏洞利用，查看要搜索的示例字符串以及示例查询。

第 3 步：研究攻击和响应方法

1. 查看此发现结果类型的 MITRE ATT&CK 框架条目：利用远程服务。
2. 点击发现结果详情摘要标签页中相关发现结果行上的相关发现结果的链接，以查看相关发现结果。 相关发现结果属于同一实例和网络上的同一发现结果类型。
3. 如需制定响应方案，请将您的调查结果与 MITRE 研究相结合。

第 4 步：实现响应

以下响应方案可能适合此发现结果，但也可能会影响运营。 请仔细评估您在研究中收集的信息，以确定解析发现结果的最佳方法。

• 升级到最新版本的 Log4j。
• 遵循 Google Cloud有关调查和应对“Apache Log4j”漏洞的建议。
• 实施 Apache Log4j 安全漏洞中建议的缓解措施。
• 如果您使用 Google Cloud Armor，请将 cve-canary rule 部署到新的或现有的 Cloud Armor 安全政策。如需了解详情，请参阅 Google Cloud Armor WAF 规则以帮助缓解 Apache Log4j 漏洞。

后续步骤

• 了解如何在 Security Command Center 中处理威胁发现结果。
• 请参阅威胁发现结果索引。
• 了解如何通过 Google Cloud 控制台查看检测结果。
• 了解生成威胁发现结果的服务。