Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
漏洞利用无需特殊配置, 经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0 正式版本。
阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。
(图片可点击放大查看)
2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914)
(图片可点击放大查看)
CVE编号:CVE-2021-44228
(图片可点击放大查看)
目前可能的受影响应用组件包括但不限于:Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等
在实际生产环境,虽然很多系统并未使用Java,但后台的服务中大量使用了ElasticSearch、Kafka、Estorm、Logstash等Java实现的开源组件,也会通过前台的输入产生实际影响。因此,实际影响面远超想象
1、微步在线提供的免费Log4j2漏洞资产排查工具下载!
(图片可点击放大查看)
使用方式如下截图所示
(图片可点击放大查看)
(图片可点击放大查看)
工具检测使用示例截图
1、共两条命令,先执行第一条命令,不要中断,然后再启动一个终端执行第二条命令
2、注意两条命令需要在同一个目录下执行
(图片可点击放大查看)
(图片可点击放大查看)
(图片可点击放大查看)
(图片可点击放大查看)
临时性缓解措施(任选一种,但是注意,只有 >=2.10.0 版本才可以用,老版本不支持这个选项)
方案一、研发代码修复:升级到官方提供的 log4j-2.15.0-rc2 版本
升级Apache Log4j所有相关应用到最新的 Log4j-2.15.0官方稳定版本。下载地址:
方案二、生产环境修复
由长亭工程师提供的删除了 JndiLookup.class 的对应版本直接替换重启即可。(如果不放心网上下载的版本,也可以自己手动解压删除:
删除jar包里的这个漏洞相关的class,然后重启服务即可)
安全工程师可以参照以下流程排查风险并加固
1、攻击识别
在边界防护设备上增加针对该漏洞攻击拦截策略,例如WAF、FW、IPS等,目前各大安全厂商基本上已经于12月10号已经更新的漏洞特征库或入侵防御特征库
在内网流量或者日志分析设备上增加识别策略
(图片可点击放大查看)
2、主机资产加固
在主机资产的防护系统,例如主机安全产品(例如椒图云锁,EDR等)上增加防护策略 通过扫描器主动扫描网络、主机安全产品盘点和发现资产、综合排查出受影响的资产
可以结合堡垒机批量运维功能,批量下发并执行检测脚本梳理有漏洞的资产
3、限制受影响应用对外访问互联网,并在边界对dnslog相关域名访问进行检测。
部分公共dnslog平台如下:
建议直接在出口防火墙上对这些域名做阻断
附腾讯安全提供的IOC情报域名建议也加入阻断名单
(图片可点击放大查看)
4、后期漏洞整改
对已经梳理出受漏洞影响的资产清单参考上面的漏洞修复建议进行 对于无法加固的系统,实现离线/隔离、加强主机安全监控、增加边界防护策略
附腾讯云镜安全发布的Log4j漏洞处置手册
【腾讯文档】Log4j漏洞处置手册(含持续更新相关IOC)