2021年12月9日星期四,Java日志库Log4j的一个漏洞被披露,并被赋予CVE IDCVE-2021-44228,也被昵称为Log4Shell。网络安全和基础设施机构(CISA)也在12月10日发布了一个警报。
这是一个令人难以置信的严重漏洞,让每个行业的安全团队都高度警惕,昼夜不停地工作,以确保其系统的安全。在高层次上,Log4J允许在受影响的服务器上进行远程代码执行(RCE),授予攻击者完全的控制权。LunaSec公布了详细的解释。
安全是我们Auth0的首要任务,我们认识到我们的平台对我们的客户起着关键作用。自该漏洞曝光以来,Auth0的工程、产品、客户成功和安全团队,在我们的检测和响应团队的带领下,已经全力以赴地评估对我们平台的任何潜在影响。这是我们行业所见过的最危险的漏洞之一,我们已经以这种严肃的态度对待它。它也有可能是非常广泛的,需要时间有条不紊地审查代码和系统。我们从我们最关键的资产开始,向外扩展,随着我们的进展获得更多的保证。
正如我们在上周末的推文中所说,我们当时没有看到直接的影响,现在也没有,经过持续的评估和监测。我们可以确认,没有利用的迹象,我们的核心服务代码库中没有使用Log4j库。
Auth0确实使用了非常少的第三方组件,这些组件容易受到Log4Shell的攻击。在整个事件响应过程中,我们一直与我们的合作伙伴密切合作,首先是在补丁发布后立即应用,其次是确定它们是否可能被用作入侵我们服务的潜在途径。同样,我们的审查也没有显示出该漏洞有任何滥用的迹象。
我们团队的反应速度和我们现有的安全架构在这里至关重要。使用我们现有的安全工具,我们能够扫描我们的整个代码库和容器中受影响的库,并迅速得到保证,我们没有受到影响。我们还在我们的边缘部署了WAF规则,以提供额外的保护,然后将我们的工作重点放在保证我们的供应链上。最后,我们的红队一直在尝试积极利用这个漏洞来对付Auth0平台,通过进攻性测试进一步提高我们的保证水平。
这个漏洞是非常严重的。我们建议我们所有的客户继续密切审查和监测他们自己的系统和第三方组件的漏洞和任何入侵的迹象。并严格确保你正在运行任何受影响的软件的最新版本(关于对Okta产品的影响,请见Okta的博客)。
随后,Log4j的其他漏洞也被报道出来(CVE-2021-45046和CVE-2021-45105),我们预计随着该库得到安全研究人员的进一步关注,会有更多的漏洞出现。我们将继续密切关注和调查这一情况,并在情况发生变化时及时通知。
