昨日,Apache Log4j2 成为知名漏洞,其危害性使得该漏洞吸引了安全圈所有人的目光。火线安全为防止其继续扩大影响范围,特发布针对该漏洞的处置方案。
漏洞描述
Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,被广泛应用于业务系统开发,用以记录程序输入输出日志信息。是目前较为优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可通过构造指定的恶意请求,触发远程代码执行从而获取服务器权限。
漏洞编号
CNVD-2021-95914
影响范围
Apache Log4j 2.x <= 2.15.0-rc1(据悉,官方rc1补丁有被绕过的风险)
经火线安全团队验证,可能受影响的应用不限于以下内容(漏洞攻击面可能会逐步扩散到基础开源软件、客户端软件等更多资产面):
Spring-Boot-strater-log4j2
Apache Struts2
Apache Solr
Apache Druid
Apache Flink
ElasticSearch
Flume
Dubbo
Jedis
Logstash
Kafka
漏洞复现
2021年12月10日,火线安全平台安全专家第一时间复现上述漏洞,复现过程如下:
新建一个Maven项目,在pom.xml导入即可
<dependencies>
<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.14.1</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.14.1</version>
</dependency>
</dependencies>
修复建议
1、使用火线安全的洞态IAST进行检测 --》DongTai-IAST(https://dongtai.io)
2、检查pom.xml是否存在log4j版本 2.0<= 2.14.1
3、当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。
链接:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
4、临时性缓解措施(任选一种)
在jvm参数中添加 -Dlog4j2.formatMsgNoLookups=true
系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true
建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本
创建“log4j2.component.properties”文件,文件中增加配置“log4j2.formatMsgNoLookups=true”
限制受影响应用对外访问互联网
WAF添加漏洞攻击代码临时拦截规则。
时间线
2021-12-9 - 火线安全平台监测到该漏洞并启动应急响应流程
2021-12-10 5:00 - 火线安全平台成功复现该漏洞
2021-12-10 09:49 - 火线安全平台旗下火线Zone发布漏洞复现文章https://mp.weixin.qq.com/s/RXSiFrj5UOs3kzXSUsMbvw
2021-12-10 12:01 -火线安全平台 洞态IAST发布产品解决方案https://mp.weixin.qq.com/s/xmOaxCnVhoE8hgqXhaSuRg
2021-12-10 14:30 -火线安全平台 面向平台客户/用户发布官方解决方案和众测平台暂停接收Apache Log4j2远程代码执行漏洞并对外提供技术支持通道
参考资料
https://www.cnvd.org.cn/webinfo/show/7116
https://github.com/apache/logging-log4j2
https://github.com/apache/logging-log4j2/commit/7fe72d6
https://www.lunasec.io/docs/blog/log4j-zero-day/
技术支持
通过火线安全团队分析该漏洞利用成本极低危害极大,目前补丁可能存在被多次绕过的情况,受影响的企业可通过火线安全技术支持通道及时获取最新检测方式、漏洞补丁和缓解措施。
平台漏洞处置规则
1、Apache Log4j2远程代码执行漏洞影响范围较广,鉴于该漏洞的影响范围比较大,火线安全平台已通知并向平台客户发布解决方案,但业务自查及升级修复需要一定时间,火线安全平台众测项目/SRC项目即日起暂不接收Log4j2相关的远程代码执行漏洞,重新接收时间将另行通知,谢谢!
2、以下网传工具非本次漏洞的利用工具,敏感期间请白帽子注意识别工具的安全性。
**点击下方链接查看持续更新:**https://i0x0fy4ibf.feishu.cn/docs/doccn0nmfQrC2MyrQyKU75uImWc#
关于火线安全
火线安全是基于社区的云安全公司,主要运营洞态IAST和火线安全平台。通过自主研发的自动化测试工具和海量的白帽安全专家,助力企业解决应用生命全周期的安全风险。“洞态”是全球首个开源IAST产品,专注于 DevSecOps,具备高检出率、低误报率、0脏数据的特点, 帮助企业发现并解决应用上线前的安全风险。“火线安全平台”是全球首个社区原生的安全众测平台,注册有近万名白帽安全专家,为企业提供可信的安全众测服务。火线的安全产品与理念赢得了来自全球著名技术领袖陆奇博士、经纬中国、五源资本的投资,代表客户包括字节跳动、美团、百度、京东、滴滴、快手、中国电信、中国银行、中石化等多家互联网大厂与国企。
官网:https://www.huoxian.cn/
————————————————
版权声明:本文为CSDN博主「火线安全」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_40418457/article/details/121858031
4413
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
