重點關(guān)注
漏洞公告
惡意代碼
Apache Log4j2遠程代碼執(zhí)行漏洞排查及修復(fù)手冊
近期,Apache Log4j2遠程代碼執(zhí)行漏洞(CNVD-2021-95914)曝光,引發(fā)社會廣泛關(guān)注。攻擊者利用該漏洞,可在未授權(quán)的情況下遠程執(zhí)行代碼,獲得服務(wù)器控制權(quán)限。經(jīng)中心綜合技術(shù)分析研判,該漏洞具有危害程度高、利用難度低、影響范圍大的特點。為正確處置突發(fā)漏洞風(fēng)險,降低漏洞帶來的損失,中心整理《Apache Log4j2遠程代碼執(zhí)行漏洞排查及修復(fù)手冊》以供相關(guān)單位、企業(yè)及個人參考。
一、漏洞情況分析
Apache Log4j是一個基于Java的日志記錄組件。Apache Log4j2是Log4j的升級版本,通過重寫Log4j引入了豐富的功能特性。該日志組件被廣泛應(yīng)用于業(yè)務(wù)系統(tǒng)開發(fā),用以記錄程序輸入輸出日志信息。
Log4j2組件在處理程序日志記錄時存在JNDI注入缺陷,未經(jīng)授權(quán)的攻擊者利用該漏洞,可向目標服務(wù)器發(fā)送精心構(gòu)造的惡意數(shù)據(jù),觸發(fā)Log4j2組件解析缺陷,實現(xiàn)目標服務(wù)器的任意代碼執(zhí)行,獲得目標服務(wù)器權(quán)限。
CNVD對該漏洞的綜合評級為“高危”。
二、漏洞排查方法
2.1 版本排查
存在該漏洞的Log4j2組件版本為:Log4j2.X≤Log4j組件版本 (1)根據(jù)Java JAR解壓后是否存在org/apache/logging/log4j相關(guān)路徑結(jié)構(gòu),查詢Log4j2組件及其版本情況。 (2)若程序使用Maven打包,查看項目的pom.xml文件中org.apache.logging.log4j相關(guān)字段及版本情況。 (3)若程序使用Gradle打包,可查看build.gradle編譯配置文件,查看中org.apache.logging.log4j相關(guān)字段及版本情況。 2.2 中間件排查 Apache Log4j2組件通常會嵌套在其他中間件使用,需要相關(guān)人員查看開發(fā)文檔或聯(lián)系系統(tǒng)開發(fā)商、維護人員進行判斷是否有使用相關(guān)中間件。 涉及的受影響中間件或應(yīng)用,包括但不限于:Apache Solr、Apache Druid、Apache Struts2、Apache Flink、Flume、Dubbo、Redis、Logstash、ElasticSearch、Kafka、Ghidra、Minecraft、Apache hive、Datax、Streaming、Dolphin Scheduler、Storm、Spring等。 三、攻擊情況排查 3.1 日志排查 攻擊者常采用dnslog方式進行掃描、探測,對于常見漏洞利用方式對應(yīng)用系統(tǒng)報錯日志中的“javax.naming.CommunicationException”、“javax.naming.NamingException: problem generating object using object factory”、“Error looking up JNDI resource”等關(guān)鍵字段進行排查。 3.2 流量排查 攻擊者的漏洞利用數(shù)據(jù)包中可能存在等字樣,通過監(jiān)測相關(guān)流量是否存在上述字符以發(fā)現(xiàn)可能的攻擊行為。 四、漏洞修復(fù)建議 4.1 官方補丁 目前,Apache官方已發(fā)布新版本完成漏洞修復(fù),請及時升級至最新版本2.16.0:https://logging.apache.org/log4j/2.x/download.html。 4.2 臨時修復(fù)措施(任選其一) (1)添加jvm啟動參數(shù)-Dlog4j2.formatMsgNoLookups=true; (2)在應(yīng)用classpath下添加log4j2.component.properties配置文件,文件內(nèi)容為log4j2.formatMsgNoLookups=true; (3)JDK使用11.0.1、8u191、7u201、6u211及以上的高版本; (4)限制受影響應(yīng)用對外訪問互聯(lián)網(wǎng); (5)禁用JNDI。如在spring.properties里添加spring.jndi.ignore=true; (6)部署使用第三方防火墻產(chǎn)品進行安全防護,并更新WAF、RASP規(guī)則等。 五、參考建議 安全廠商-鏈接地址 1 奇安信科技集團股份有限公司 https://mp.weixin.qq.com/s/um4yi15P5bYC5kY1SDR3Uw 2 綠盟科技集團股份有限公司 http://blog.nsfocus.net/apache-log4j2/ 3 上海斗象信息科技有限公司 https://vas.riskivy.com/vuln-detail?id=105 4 深信服科技股份有限公司 https://mp.weixin.qq.com/s/XL8Br8mGoJe71IWU4wyuGQ 5 北京數(shù)字觀星科技有限公司 https://mp.weixin.qq.com/s/fFBaMAls7TFVg8UpEtZAgg 6 杭州安恒信息技術(shù)股份有限公司 https://mp.weixin.qq.com/s/jp_jBd9SN8pHy3jYc1rnTg 7 安天科技股份有限公司 https://www.antiy.com/response/20211210.html 8 啟明星辰信息技術(shù)集團股份有限公司 https://mp.weixin.qq.com/s/SgBhyUfRff4YISsH5_PVTA 9 北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司 https://mp.weixin.qq.com/s/IT312b89Nh-cCDUGC-b-Zw 10 遠江盛邦(北京)網(wǎng)絡(luò)安全科技股份有限公司 https://mp.weixin.qq.com/s/cjvxyKhhZuwmp3qD1wBEqQ 11 東軟集團股份有限公司 https://mp.weixin.qq.com/s/TOX6hbZ_6pNRvuYCjHPC-g 感謝奇安信科技集團股份有限公司、綠盟科技集團股份有限公司、上海斗象信息科技有限公司、深信服科技股份有限公司、北京數(shù)字觀星科技有限公司和杭州安恒信息技術(shù)股份有限公司等為本報告提供的技術(shù)支持。