记Log4j(CVE-2021-44228)核弹级漏洞应急响应之旅

已于 2023-04-24 11:30:30 修改
阅读量3.2k 收藏
点赞数
文章标签: 安全 web安全 log4j2
于 2021-12-15 12:05:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jimmyleeee/article/details/121948696
版权

可能大家都知道了Log4j的远程代码执行漏洞( CVE-2021-44228),又造成了很多安全运维和开发团队的不眠之夜。下面是参加此次应急响应的过程,简单写下来,以供将来改善。

收到此漏洞之后,公司的团队做了以下紧急安排:

首先,联系Blue Team,根据攻击特征制定相应的防火墙规则,先挡一阵子。事实证明也只能挡一阵子,很快各种绕过就出来了,例如:https://github.com/SecuProject/Pentest-Cheat-Sheet/blob/master/Discovery/HTTP-HTTPS/WebAttacks/CVE/Log4shell.md

不过,虽然有各种绕过,还是可以更新规则,继续挡住。这个时候blue team及时检测并且适时更改规则,非常重要。 


其次,使用购买的SCA工具快速扫描公司内部所有的Repo,得到所有的收到影响的项目列表,如果没有购买SCA工具,针对java的也可以使用OWASP 的DependencyChecker,并且根据是否对外开放的项目进行分开,优先处理对外开放的项目;

同时,有安全开发团队的人及时跟进根据漏洞的产生的原因,提供合理的解决方案;也调查收到log4j影响的库或者工具,例如:logstash 也收到影响, Logstash is vulnerable due to log4j CVE-2021-44228 · Issue #13501 · elastic/logstash · GitHubHi Elastic, A 0-day exploit CVE-2021-44228 in log4j package has been published and all Logstash versions 7.x are affected by a vulnerable version. Vulnerability: apache/logging-log4j2#608 Please look at it and advice on the best course o...https://github.com/elastic/logstash/issues/13501

接着,根据每个项目预留的负责人,及时联系说明情况,同时在内部bug管理系统针对每一个项目报一个安全的ticket,在ticket里把漏洞的情况和解决方案一一说明清楚,同时在所有的ticket都挂在一个总的ticket下面,这样有利于跟踪;这一步很重要,但是如果有些公司平时没有注意维护好这样一个联系人列表的话,可能就很痛苦了,所以,要想应急做得好,平时就必须要把所有的准备工作准备到位,准备工作包括:流程、工具和联系人。

然后,就是及时跟开发团队保持沟通,跟踪解决状况,及时关闭ticket,并查阅总的ticket的状态是否子ticket解决了。

最后,经过几天的努力终于所有的受影响的项目的都安全地解决并且deploy到产品线上。

终于可以睡一个好觉了! 

此漏洞log4j的1.x版本并未受影响,遇到如此的漏洞,有时在想,对于第三方开源库的使用上,是不是一定要跟进使用最新的版本呢? 不过,一般新版本的功能都会更加全面,而且,也会修复一些旧版本中的安全问题,所以,该使用新的还是要继续使用,不能因为一两次的0day漏洞对新版本持怀疑态度。

后记: 在将补丁升级到2.15.0之后,log4j又陆续出了两个版本,2.16.0和2.17.0,有点跟不上的节奏,而且开发在连续打补丁也会有受挫感。 还好这次有人出了一个工具【https://github.com/logpresso/CVE-2021-44228-Scanner】将jndi的lookup的类直接删除,以绝后患。 这次采取的措施是:将log4j直接升级到2.17.0同时使用工具将jndi的lookup类删掉。 

jimmyleeee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
Apache log4j引起的应急响应
一杯咖啡的渗透记忆
03-07 4483
应急响应·第一天 接到某大厂的紧急邮件,限定24小时修复该问题。24小时?当时log 4j rc1被绕过rc2非官方版刚发布。我想问问大哥,怎么个24小时。
突发!Log4j 爆“核弹漏洞,Flink、Kafka等至少十多个项目受影响
机器学习算法与Python学习
12-10 315
点击 机器学习算法与Python学习 ,选择加星标精彩内容不迷路本文来自InfoQ昨晚,对很多程序员来说可能是一个不眠之夜。12 月 10 日凌晨,Apache 开源项目 Log4j 的远...
Apache Log4j2 Jndi RCE CVE-2021-44228漏洞原理讲解
最新发布
m0_62670778的博客
04-06 1229
Log4j2(Log for java)是Apache软件基金会下一个优秀的java程序日志监控组件Log4j2远程代码执行漏洞细节被公开【影响版本Log4j 2.x
log4j2 rce (CVE-2021-44228)
weixin_40151476的博客
03-01 789
Apache Log4j2是一个基于Java的日志录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
CVE-2021-44228(log4shell-Quick Guide)
Websec
12-14 826
log4shell - Quick Guide 0x00 Introduction CVE-2021-44228(a.k.a. log4shell) is a Remote Code Execution vulnerability in the Apache Log4j library, a Java-based logging tool widely used in applications around the world. This vulnerability allows an attacke.
Log4j2远程命令执行(CVE-2021-44228
qq_40646572的博客
05-12 1209
我采用的是较为简单便捷的方法进行复现,全程只是使用了JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar工具,另外,还可以使用ysoserial-0.0.6-SNAPSHOT-all.jar以及marshalsec-0.0.3-SNAPSHOT-all.jar。使用jndi注入工具JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar ,进行rmi注入。启动服务后,进入主页面,点击页面中的?链接,跳转到,目标地址。及时升log4j组件。
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Java 6 将 log4j到 2.3.2 版本,Java 7 将 log4j到 2.12.4 版本,Java 8 或更高版本将 log4j到 2.17.1 版本
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
Apache Log4j代码执行漏洞(CVE-2021-44228)
weixin_45808483的博客
12-14 7886
前言: 12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等为:严重。 Log4j2 是一个基于 Java 的日志录工具。它重写了 Log4j 框架,引入了大量丰富特性,让用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的别,让使用者能够更加细致地控制日志的生成过程。 Log4j 是目前全球使用最广泛的 java 日志框架之一。该漏洞还影响着很多全球使用量前列的开源组件,如 Apache Struts2、
Log4j2漏洞复现(CVE-2021-44228
热门推荐
qq_43798640的博客
12-15 3万+
Apache Log4j是一个基于Java的日志录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。影响范围:Apache Log4j 2.x<=2.14.1。已知受影响的应用及组件,如 spring-boot-strater-log4...
Apache Log4j 2 ​远程代码执行漏洞 ( CVE-2021-44228 )​
itisauto2008的专栏
12-14 1980
Microsoft 继续分析2021 年 12 月 9 日披露的与 Apache Log4j(许多基于 Java 的应用程序中使用的日志录工具)相关的远程代码执行漏洞( CVE-2021-44228 )​。该漏洞是一种远程代码执行漏洞,可以让未经身份验证的攻击者获得对目标系统的完全访问权限。当易受攻击的 Log4j 2 组件解析和处理特制字符串时,可以触发它。这可能通过任何用户提供的输入发生。 该漏洞编号为CVE-2021-44228,称为“Log4Shell”,影响使用 Log4j 2 版本 2.0.
CVE-2021-44228 Apache Log4j 2 远程代码执行漏洞(反弹shell)
PolarPeak的博客
12-10 5269
本地复现 https://github.com/tangxiaofeng7/apache-log4j-poc log4j.java内容 import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; public class log4j { private static final Logger logger = LogManager.getLogger(log4j.class);
[Log4j]CVE-2021-44228 CTFshow
krysyal的博客
03-31 3519
Log4j复现 CTFshow 复现参考文档1 复现参考文档2 环境 http://dcc43afd-8e07-4d9e-8bd2-b0a1c320a5b7.challenge.ctf.show/ 2.0 <= Apache log4j2 <= 2.14.1 简单来说,用户输入会录在log4j中,而log4j自带lookup功能,格式为${parser:xxx}。如果用户输入lookup会被log4j解析。 jndi是parser的一种,是一种标准的Java命名系统接口,可以连接远程服务,格式
log4j2-rce漏洞复现(CVE-2021-44228)
Z_l123的博客
04-01 2116
漏洞介绍 Apache Log4j2是一个Java的日志组件,在特定的版本中由于其启用了lookup功能,从而导致产生远程代码执行漏洞。 影响版本:Apache Log4j2 2.0-beta9 - 2.15.0(不包括安全版本 2.12.2、2.12.3 和 2.3.1) 漏洞编号:CVE-2021-44228 漏洞复现 利用vulfocus搭建并启动靶场 DNSLog验证 通过DNSLog Platform平台获取到域名skvgq7.dnslog.cn,构造payload:${jndi
Apache Log4j2 lookup JNDI 注入漏洞CVE-2021-44228
weixin_53639243的博客
02-29 269
Log4jJNDI 支持并没有限制可以解析的名称。一些协议像rmi:和ldap:是不安全的或者可以允许远程代码执行。Apache Log4j 2 是对 Log4j 的升,它比其前身 Log4j 1.x 提供了显着改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。工具:https://pan.baidu.com/s/1ijXAfPCFCPbU7FveCpNnRQ?执行之后会看到熟悉的rmi和idap,利用工具生成了恶意的命令和url。
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 1083
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
apache log4j CVE-2021-44228漏洞怎么解决
06-03
漏洞描述: Apache Log4j 2.x中存在一种命令注入漏洞,攻击者通过构造恶意日志信息,可以在目标服务器上执行任意命令。 解决办法: 1.升到最新版本 Apache Log4j 2.x发布了修复此漏洞的版本2.17.0,建议用户尽快升到该版本。 2.使用安全策略文件 在升之前,可以通过使用安全策略文件来限制日志信息中使用的类和方法,以减少攻击面。可以使用以下命令生成策略文件: ``` java -Dlog4j2.formatMsgNoLookups=true -Dlog4j2.disable.jmx=true -Dlog4j2.benchMillis=100 org.apache.logging.log4j.core.tools.GenerateExtendedLoggerInfo > log4j2-enum-class-loader.policy ``` 然后将策略文件放置在类路径下,例如在Tomcat中,可以将其放置在`$CATALINA_BASE/conf`目录下。 3.禁用Log4j JNDI Lookup功能 如果无法立即升,可以通过在JVM参数中添加以下选项来禁用Log4j JNDI Lookup功能: ``` -Dlog4j2.formatMsgNoLookups=true ``` 或者在log4j2.xml配置文件中添加以下选项: ``` <Configuration> <properties> <property name="log4j2.formatMsgNoLookups">true</property> </properties> ... </Configuration> ``` 以上是针对Apache Log4j 2.x的解决办法,如果您使用的是其他版本的Log4j,请查看厂商的官方文档或者联系技术支持获取解决办法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值