【转载】Apache Log4j2远程代码执行漏洞排查及修复手册

转载来源

转载:中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册

安全公告编号:CNTA-2021-0034

近期,Apache Log4j2远程代码执行漏洞(CNVD-2021-95914)曝光,引发社会广泛关注。攻击者利用该漏洞,可在未授权的情况下远程执行代码,获得服务器控制权限。经中心综合技术分析研判,该漏洞具有危害程度高、利用难度低、影响范围大的特点。为正确处置突发漏洞风险,降低漏洞带来的损失,中心整理《Apache Log4j2远程代码执行漏洞排查及修复手册》以供相关单位、企业及个人参考。

一、漏洞情况分析

Apache Log4j是一个基于Java的日志记录组件。Apache Log4j2是Log4j的升级版本,通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。

Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞排查方法

2.1 版本排查

存在该漏洞的Log4j2组件版本为:Log4j2.X≤Log4j组件版本<Log4j-2.15.0-rc2。具体组件版本排查方法如下:

(1)根据Java JAR解压后是否存在org/apache/logging/log4j相关路径结构,查询Log4j2组件及其版本情况。
在这里插入图片描述

(2)若程序使用Maven打包,查看项目的pom.xml文件中org.apache.logging.log4j相关字段及版本情况。
在这里插入图片描述

(3)若程序使用Gradle打包,可查看build.gradle编译配置文件,查看中org.apache.logging.log4j相关字段及版本情况。
在这里插入图片描述

2.2 中间件排查

Apache Log4j2组件通常会嵌套在其他中间件使用,需要相关人员查看开发文档或联系系统开发商、维护人员进行判断是否有使用相关中间件。

涉及的受影响中间件或应用,包括但不限于:Apache Solr、Apache Druid、Apache Struts2、Apache Flink、Flume、Dubbo、Redis、Logstash、ElasticSearch、Kafka、Ghidra、Minecraft、Apache hive、Datax、Streaming、Dolphin Scheduler、Storm、Spring等。

三、攻击情况排查

3.1 日志排查

攻击者常采用dnslog方式进行扫描、探测,对于常见漏洞利用方式对应用系统报错日志中的“javax.naming.CommunicationException”、“javax.naming.NamingException: problem generating object using object factory”、“Error looking up JNDI resource”等关键字段进行排查。

3.2 流量排查

攻击者的漏洞利用数据包中可能存在:“KaTeX parse error: Expected '}', got 'EOF' at end of input: {jndi:rmi”、“{jndi:ldap”等字样,通过监测相关流量是否存在上述字符以发现可能的攻击行为。

四、漏洞修复建议

4.1 官方补丁

目前,Apache官方已发布新版本完成漏洞修复,请及时升级至最新版本2.16.0:https://logging.apache.org/log4j/2.x/download.html。

4.2 临时修复措施(任选其一)

(1)添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true;

(2)在应用classpath下添加log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true;

(3)JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;

(4)限制受影响应用对外访问互联网;

(5)禁用JNDI。如在spring.properties里添加spring.jndi.ignore=true;

(6)部署使用第三方防火墙产品进行安全防护,并更新WAF、RASP规则等。

五、参考建议

序号安全厂商链接地址
1奇安信科技集团股份有限公司https://mp.weixin.qq.com/s/um4yi15P5bYC5kY1SDR3Uw
2绿盟科技集团股份有限公司http://blog.nsfocus.net/apache-log4j2/
3上海斗象信息科技有限公司https://vas.riskivy.com/vuln-detail?id=105
4深信服科技股份有限公司https://mp.weixin.qq.com/s/XL8Br8mGoJe71IWU4wyuGQ
5北京数字观星科技有限公司https://mp.weixin.qq.com/s/fFBaMAls7TFVg8UpEtZAgg
6杭州安恒信息技术股份有限公司https://mp.weixin.qq.com/s/jp_jBd9SN8pHy3jYc1rnTg
7安天科技股份有限公司https://www.antiy.com/response/20211210.html
8启明星辰信息技术集团股份有限公司https://mp.weixin.qq.com/s/SgBhyUfRff4YISsH5_PVTA
9北京天融信网络安全技术有限公司https://mp.weixin.qq.com/s/IT312b89Nh-cCDUGC-b-Zw
10远江盛邦(北京)网络安全科技股份有限公司https://mp.weixin.qq.com/s/cjvxyKhhZuwmp3qD1wBEqQ
11东软集团股份有限公司https://mp.weixin.qq.com/s/TOX6hbZ_6pNRvuYCjHPC-g

感谢奇安信科技集团股份有限公司、绿盟科技集团股份有限公司、上海斗象信息科技有限公司、深信服科技股份有限公司、北京数字观星科技有限公司和杭州安恒信息技术股份有限公司等为本报告提供的技术支持。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值