Apache Log4j2 远程代码执行漏洞分析+检测+防护

最新推荐文章于 2024-05-26 12:45:23 发布
置顶 最新推荐文章于 2024-05-26 12:45:23 发布
阅读量1.1w 收藏 25
点赞数 8
文章标签: apache 安全 log4j2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46622976/article/details/121849846
版权

分析:

    Apache Log4j2是一款开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中,用来记录日志信息。由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞PoC已在网上公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。

    根据Iog4j的用途和复现的情况来看,攻击入口取决于Iog4j从线上业务的哪些地方取数据放入 logger.error,所以没有固定请求路径。另外由于线上web业务的任何数据都可能写入Iog4j,甚 至一些pre-auth的地方,比如注册、登录,所以这个漏洞的影响可能会被放大到未授权命令执行。  

检测:

 人工检测

1、相关用户可根据Java jar解压后是否存在org/apache/logging/log4j相关路径结构,判断是否使用了存在漏洞的组件,若存在相关Java程序包,则很可能存在该漏洞。

2、若程序使用Maven打包,查看项目的pom.xml文件中是否存在下图所示的相关字段,若版本号为小于2.15.0,则存在该漏洞。

3、若程序使用gradle打包,可查看build.gradle编译配置文件,若在dependencies部分存在org.apache.logging.log4j相关字段,且版本号为小于2.15.0,则存在该漏洞。

4、检测Ivy依赖版本是否低于 2.15.0

5、 检测SBT依赖版本是否低于 2.15.0

若没有使用上述工具,那么可以全局搜索log4j的相关jar包。 

受影响版本:

Apache Log4j 2.x <= 2.14.1

已知受影响应用及组件:

Apache Solr

Apache Flink

Apache Druid

srping-boot-strater-log4j2

更多组件可参考如下链接:

https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1

不受影响版本:

Apache log4j-2.15.0-rc1

防护:

1、升级

目前官方已发布测试版本修复该漏洞,受影响用户可先将Apache Log4j2所有相关应用到该版本,下载链接:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
注:由于此版本非正式发行版,可能出现不稳定的情况,建议用户在备份数据后再进行升级。
升级供应链中已知受影响的应用及组件:Apache Solr、Apache Flink、Apache Druid、srping-boot-strater-log4j2

2、流量拦截

  • rulel $(jndi:ldap://
  • rule2 $(jndi:rmi:// 

以上流量特征可能出现在流量中的任何地方,也包括各种类型的请求(GET、POST等),所以需要对 整个请求流量做特征匹配。

以上正则对业务中的正常jndi流量无影响(恶意流量须包含${jndi:rmi${jndi:ldap,正常 业务jndi流量通常只包含rmi://ldap:// ),但是如果你的正常流量也包含上述特征请慎用。

3、临时防护

从官方给的信息和复现情况来看,利用手段是jndi注入无疑,jndi注入无非ldap、rmi,需要外连请 求Idap-server/exp-server,禁止外连能在一定程度上缓解,但是不能防御攻击者已控其他内部服务 器的情况。此外,JDK11.0.1、8u191、7u201、6u211或者更高版本默认是无法利用JNDI注入,JDK6u141、7u131、8u121或者更高版本无法利用RMI注入,网 上的一些bypas s方法也是依赖本地特定的lib(相当于找了新的gadgets),所以总结:

1、禁止使用Iog4j的服务器外连(日志服务器正常不需要外连)

     并在边界对dnslog相关域名访问进行检测。

     部分公共dnslog平台如下:

     ceye.io
     dnslog.link
     dnslog.cn
     dnslog.io
     tu4.org
     awvsscan119.autoverify.cn
     burpcollaborator.net
     s0x.cn

2、建议JDK使用高版本

3、添加jvm启动参数:-Dlog4j2.formatMsgNoLookups=true

  

4、在应用classpath下添加log4j2.component.properties配置文件,文件内容为:log4j2.formatMsgNoLookups=true

  

5、将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

306Safe
关注
  • 8
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
代码审计-log4j2_rce分析
cdyunaq的博客
12-14 937
前言 2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。 2021年12月9日晚,各大公众号突然发布漏洞预警 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞
全网连夜修复的Log4j漏洞,如何做
superjava_的博客
12-29 2720
Apache Log4j2 远程代码执行漏洞的问题最近闹得沸沸扬扬的,很多人都被大半夜叫起来紧急修复这跟问题。 有很多人在微信上问我:这种漏洞还能怎么修?下次有问题还要再升级版本吗?有没有啥一劳永逸的办法?就没啥办法避免吗? 其实,是有的。有一种技术,可以针对这类漏洞做定向拦截。可以让开发者不用急急忙忙修这个漏洞,甚至你如果完全不想修都可以。 这就是RASP技术。 其实这个技术已经诞生很久了,在安全圈也应用很广泛。应用范围也很广泛了。 RASP RASP 是 Runtime Applicatio
log4j2 远程代码执行漏洞复现(CVE-2021-44228)
Welcome To Myon'Blog !
03-08 6378
log4j 是 Apache 的一个开源日志库,是一个基于 Java 的日志记录框架,Log4j2 是 log4j 的后继者,其中引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI 组建等,被应用于业务系统开发,用于记录程序输入输出日志信息,log4j2 中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞,成功利用该漏洞可在目标服务器上执行任意代码
log4j2远程代码执行
最新发布
2302_79885863的博客
05-26 905
漏洞,黑客可以恶意构造特殊数据请求包,触发此漏洞,从而成功利用此漏洞可以在目标服务器上执行任意代码。注意,此漏洞是可以执行任意代码,这就很恐怖,相当于黑客已经攻入计算机,可以为所欲为了,就像已经进入你家,想干什么,就干什么,比如运行什么程序,植入什么病毒。通过访问那个域名网站之后,它的这个服务器后面会去做一个映射,如果这个网站存在这个漏洞,那么它就会访问这个网站, 只要一访问这个网站它就会得到网站的ip地址,说明我的服务器解析了这个代码,说明那个我的这个网站存在这个漏洞
Wireshark TS | 网络数据包角度看 log4j
7ACE的博客
12-31 5089
Wireshark TS | 网络数据包角度看 log4j
Java的常用日志技术(三)Log4j2Log4j2与slfj整合详解
qq_41946216的博客
06-04 3713
log4j2
常见Webshell&重大漏洞流量特征(附解密流量工具)
Python_0011的博客
11-10 5735
攻防演练中,经常会看到一些加密的流量,又分不清楚是不是误报,本文总结了一些常见的流量特征,附流量解密工具。
Apache Log4j2 RCE 远程命令执行漏洞复现与分析
angry_program的博客
12-18 6490
Apache Log4j2 远程代码执行漏洞。由于Log4j2 组件在处理程序日志记录时存在JNDI 注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2 组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。本文主要复现漏洞过程和研究漏洞原理。
Apache Log4j 远程代码执行漏洞自查以及修复
zsj777的专栏
12-10 1761
1、人工检测 jar解压后是否存在org/apache/logging/log4j相关路径结构,判断是否使用了存在漏洞的组件,若存在相关Java程序包,则很可能存在该漏洞。 应用程序能引用org.apache.logging.log4j的包,很大概率存在漏洞 如果应用程序引用了log4j-core-2.xx.xx.jar 或log4j-api-2.xx.x.jar 很大概率存在漏洞。 如果pom文件引用了以下 <!-- https://mvnrepository.com/a...
Apache Log4j2 远程代码执行漏洞 排查及修复
m0_48368237的博客
12-23 1941
近期,Apache Log4j2 远程代码执行漏洞(CNVD-2021- 95914)曝光,引发社会广泛关注。攻击者利用该漏洞,可 在未授权的情况下远程执行代码,获得服务器控制权限。经 中心综合技术分析研判,该漏洞具有危害程度高、利用难度 低、影响范围大的特点。 一、漏洞情况分析 Apache Log4j 是一个基于 Java 的日志记录组件。Apach e Log4j2 是 Log4j 的升级版本,通过重写 Log4j 引入了丰富 的功能特性。该日志组件被广泛应用于业务系统开发,用以 记录程序输入输出日志
log4j远程执行漏洞,测试源码
12-22
标题提及的是“log4j远程执行漏洞”,这指的是Log4j 2框架中的一个严重安全漏洞,通常称为CVE-2021-44228,也被广泛称为“Log4Shell”漏洞。这个漏洞允许攻击者通过在日志记录语句中注入恶意代码来实现远程代码执行...
log4j2_rce 项目
02-23
本文将深入探讨一个重要的安全漏洞——Log4j2远程代码执行(RCE)漏洞,该漏洞曾引起全球广泛关注。我们将从项目标题"Log4j2_rce"入手,结合其描述,探讨这一漏洞的成因、影响以及如何利用和防范。 首先,Log4j2是...
apache-log4j-2.15.0-rc2-bin.zip
12-10
Apache Log4j 2.15.0-rc2 是一个重要的更新,主要针对已知的安全漏洞进行修复,特别是远程代码执行(RCE)漏洞。Log4j 是一个广泛使用的Java日志框架,由Apache软件基金会开发。它允许开发者记录应用程序运行时的...
log4j2漏洞补丁log4j2.15-rc2 log4j2.16.0.zip
12-14
《深入理解Log4j2漏洞与补丁:从log4j2.15-rc2到log4j2.16.0》 在信息化高度发达的今天,软件安全问题日益凸显,其中Java日志框架Log4j2的严重安全漏洞引起了广泛关注。本文将详细解析Log4j2漏洞的本质,探讨其影响...
log4j-2.15.0-rc2.zip
12-10
Log4Shell,又称为CVE-2021-44228,是一个极其严重的远程代码执行(RCE)漏洞,影响了Log4j 2.x版本。这个漏洞允许攻击者通过精心构造的JNDI(Java Naming and Directory Interface)链接来注入恶意代码,进而执行...
hw蓝队初级面试总结
热门推荐
G208_522的博客
05-27 1万+
1、sql注入原理、分类、绕过 原理:产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中,然后直接执行该sql语句,这样就会导致恶意用户传入一些精心构造的sql代码,与后台sql语句拼接后形成完整的sql语句执行,达到攻击者的目的。 分类:我们可以把sql注入直接的分为字符型和数字型,主要特点就是在进行sql注入的时候是否需要闭合传参的单引号,不需要闭合说明是数值型,反之就是字符型;还可以将sql注入分为有回显的注入和无回显的注入,无回显的注入又别称为盲注,盲注有三大
Log4j2滚动策略深度解析:保持日志轻量高效
fudaihb的博客
05-15 1526
在本文中,我们将深入探讨 Log4j2 的滚动策略。我们将从基本概念入手,介绍文件滚动机制的必要性和作用,详细解析 Log4j2 中的各种滚动策略,并提供具体的配置方法和实例。通过全面了解这些内容,您将能够更好地掌控日志系统,使其既轻量高效,又具备足够的灵活性和扩展性。无论您是系统运维工程师、软件开发人员,还是日志系统的设计者,相信本文都能为您提供实用的指导和宝贵的参考。
日志框架7:log4j2
Cape_sir
05-24 319
1.Log4j2介绍 Log4j2是Log4j的升级版,与之前的版本Log4j 1.x相比、有重大的改进,在修正了Logback固有的架构问题的同时,改进了许多Logback所具有的功能。 1.1 Log4j2的特性及改进 API分离:Log4j2将API与实现分离开来。开发人员现在可以很清楚地知道能够使用哪些没有兼容问题的类和方法,同时又允许通过自己实现来增强功能。 改进的性能:Log4j2的性能在某些关键领域比Log4j 1.x更快,而且大多数情况下与Logback相当。 多个API支持:Log4j2
apache log4j2利用工具
06-25
### 回答1: Apache Log4j 2(简称Log4j2)是一个功能强大的日志记录工具,它能够帮助我们有效地记录日志信息,以便于追踪程序的运行情况和进行错误调试。Log4j2的使用非常简单,我们只需要在程序中引入相应的依赖库,然后在代码中配置相应的日志记录格式和输出位置即可。 Log4j2支持多种日志输出格式,包括控制台输出、文件输出、远程TCP输出等,我们可以通过简单的配置来选择相应的输出方式。此外,Log4j2还支持自定义的日志输出格式和布局,我们可以根据实际需求来扩展Log4j2的功能。 Log4j2还支持日志级别的设置,包括调试、信息、警告、错误和致命等5个级别,我们可以根据需要来设置相应的日志级别。此外,Log4j2还支持异步日志记录,可以在程序高并发的情况下保持高性能和低延迟。 总之,Apache Log4j2是一个非常优秀的日志记录工具,它提供了丰富的功能和灵活的配置方式,可以帮助我们快速、有效地记录日志信息,提高程序开发和调试的效率。 ### 回答2: apache log4j2是一种广泛使用的Java日志框架,可以帮助开发人员快速实现日志记录和管理。它与其他日志框架相比具有更高的性能和更丰富的功能。 使用apache log4j2,开发人员可以配置多种不同类型的日志记录器,可以使用多种不同的输出格式和目标设备,例如文件,控制台,甚至是网络。此外,apache log4j2 还支持使用各种不同的策略来推送日志信息,例如按照级别或文件大小进行轮换。 apache log4j2 还有一些其他的特性,例如日志过滤以及对多线程和分布式环境下应用程序的支持。它可以帮助开发人员更好地了解应用程序的运行状态,以及为调试和监视应用程序提供有用的数据。 总之,apache log4j2是一种非常有用的工具,可以帮助开发人员更轻松地管理和记录应用程序的日志信息,并且具有高性能和可扩展性的特点。对于日志记录是一个重要的应用程序,apache log4j2是一个必不可少的组件。 ### 回答3: Apache Log4j2 是一个 Java 的日志框架工具,它提供了高效和灵活的日志记录方式,支持多种日志级别和多种输出方式,并支持动态配置日志行为。 Log4j2 最大的优势是性能高和灵活性强。它使用异步日志来提高性能,同时还可以使用多种方式来输出日志,比如输出到控制台、文件、数据库等。它还可以自定义输出的格式和内容,这样我们就可以根据自己的需要来定制日志输出格式。 另外,Log4j2 还支持动态配置日志行为,这意味着我们可以在程序运行时动态的修改日志级别和输出方式,这样就可以实现更加灵活的日志输出机制。 总的来说,Apache Log4j2 是一个非常优秀的日志框架工具,它的性能、灵活性和可扩展性都非常高。使用它可以帮助我们更加有效地管理和记录程序运行过程中的信息,为我们开发和维护程序带来了很大的便利。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

306Safe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值