主動掃描:Log4j 容易受到 RCE 攻擊

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

支援的 Log4j 漏洞掃描器會在 HTTP 參數、網址和文字欄位中插入模糊處理的 JNDI 查詢,並回呼至掃描器控管的網域。如果發現未混淆處理的網域 DNS 查詢,就會產生這項發現項目。只有在 JNDI 查閱成功時,才會發生這類查詢,表示 Log4j 存在有效漏洞。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 按照「查看發現項目詳細資料」一文的說明,開啟 Active Scan: Log4j Vulnerable to RCE 發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。

  2. 在「摘要」分頁中,查看下列各節的資訊:

    • 偵測到的內容
    • 受影響的資源,尤其是下列欄位:
      • 資源完整名稱:易受 Log4j RCE 攻擊的 Compute Engine 執行個體的完整資源名稱
    • 相關連結,尤其是下列欄位:
      • Cloud Logging URI:記錄檔項目的連結。
      • MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
      • 相關發現項目:任何相關發現項目的連結。

  3. 在調查結果的詳細資料檢視畫面中,按一下「JSON」分頁標籤。

  4. 請注意 JSON 中的下列欄位。

    • properties
      • scannerDomain:掃描器使用的網域,屬於 JNDI 查閱程序的一部分。這會顯示偵測到安全漏洞的掃描器。
      • sourceIp:用於發出 DNS 查詢的 IP 位址
      • vpcName:執行個體上進行 DNS 查詢的網路名稱。

步驟 2:檢查記錄

  1. 在 Google Cloud 控制台中,按一下步驟 1「Cloud Logging URI」欄位中的連結,前往「Logs Explorer」

  2. 在隨即載入的頁面中,檢查 httpRequest 欄位是否有字串權杖,例如 ${jndi:ldap://,這可能表示有人試圖進行攻擊。

    如需搜尋的字串範例和查詢範例,請參閱「CVE-2021-44228:偵測 Log4Shell 弱點」一文。

步驟 3:研究攻擊和回應方法

  1. 查看這類發現項目的 MITRE ATT&CK 架構項目: Exploitation of Remote Services
  2. 如要查看相關發現項目,請在發現項目詳細資料的「摘要」分頁中,點選「相關發現項目」列的「相關發現項目」連結。相關發現項目是指類型相同,且屬於相同執行個體和網路的發現項目。
  3. 如要制定回應計畫,請將調查結果與 MITRE 研究結合。

步驟 4:實作回應

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

後續步驟