UTM篇&IPS ❀ 02. 防范Log4j远程代码执行漏洞攻击 ❀ 飞塔 (Fortinet) 防火墙

Posted meigang2012

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了UTM篇&IPS ❀ 02. 防范Log4j远程代码执行漏洞攻击 ❀ 飞塔 (Fortinet) 防火墙相关的知识,希望对你有一定的参考价值。

  【简介】近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。


 Log4j 远程代码执行漏洞

  Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。IT之家获悉,由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

  漏洞利用无需特殊配置,经安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等均受影响。因该组件使用极为广泛,提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

  漏洞评级:严重

  影响版本:

  1、Apache Log4j 2.x <= 2.14.1
  2、Minecraft 全版本所有系列服务端,除 Mohist 1.18 外

  安全建议:

  1、升级 Apache Log4j2 所有相关应用到最新的 log4j-2.15.0-rc1 版本,地址查看:点击此处。

  2、升级已知受影响的应用及组件,如 srping-boot-strater-log4j2 / Apache Solr / Apache Flink / Apache Druid

 统一威胁管理 UTM

       Fortinet 统一威胁管理系统包括防火墙、VPN、入侵保护、防病毒、防恶意软件、防垃圾邮件、Web内容过滤等安全功能,可在一台单一设备中识别多种安全威胁。尤其FortiGate的应用控制功能可以让网络管理员轻松控制千种以上的应用,无论是监控还是流量控制都可以简单实现。除此之外,它还可以实现反间谍软件,漏洞扫描和WAN优化等功能,给用户以更多的选择。

       在中国,Fortinet 防火墙硬件设备和UTM通常是分开销售的。如果没有购买UTM,就不具备防病毒、入侵保护、Web过滤等功能。

  升级病毒库和IPS库

        针对最近爆发的Log4j远程代码执行漏洞攻击,Fortinet的安全团队立即做出了反应,只要将病毒库和IPS库升级到最新版本,就可以防范Log4j远程代码执行漏洞攻击。

   ① 登录fortiguard.com网站,搜索Log4j,可以看到有关于Log4j远程代码执行漏洞的信息,并且可以看到IPS 19.218版本已经增加了签名。

  ② FortiGate防火墙需要购买了UTM(现在叫UTP)才具备入侵防御(IPS)功能,在服务期内,防火墙可以上网的情况下会自动升级。防火墙不能上网的情况下需要手动升级。这里IPS库就是自动升级到19.00218。

  ③ 在IPS特征库搜索Log4j,可以看到签名信息。

  ④ 需要在策略里启用IPS。在入侵防御日志中,可以看到Log4j远程代码执行漏洞攻击被阻止了的日志记录。


以上是关于UTM篇&IPS ❀ 02. 防范Log4j远程代码执行漏洞攻击 ❀ 飞塔 (Fortinet) 防火墙的主要内容,如果未能解决你的问题,请参考以下文章

Yeslab 华为安全HCIE-第五门-防火墙攻击防范技术

解读2015之大数据篇:大数据的黄金时代

179. Spring Boot lombok安装+使用:idea篇

解读2015之Spark篇:新生态系统的形成

教程篇(7.0) 11. FortiGate安全 & 入侵防御和拒绝服务 ❀ Fortinet 网络安全专家 NSE 4

教程篇(7.2) 10. 入侵防御和拒绝服务 & FortiGate安全 ❀ Fortinet 网络安全专家 NSE 4