問題描述

在12月9日晚間出現(xiàn)了Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞攻擊代碼。該漏洞利用無(wú)需特殊配置，經(jīng)多方驗(yàn)證，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2是一款流行的Java日志框架，建議廣大交易所、錢包、DeFi項(xiàng)目方抓緊自查是否受漏洞影響，并盡快升級(jí)新版本。

Apache Log4j2是一個(gè)基于Java的日志記錄工具。該工具重寫了Log4j框架，并且引入了大量豐富的特性。該日志框架被大量用于業(yè)務(wù)系統(tǒng)開發(fā)，用來(lái)記錄日志信息。大多數(shù)情況下，開發(fā)者可能會(huì)將用戶輸入導(dǎo)致的錯(cuò)誤信息寫入日志中。此次漏洞觸發(fā)條件為只要外部用戶輸入的數(shù)據(jù)會(huì)被日志記錄，即可造成遠(yuǎn)程代碼執(zhí)行。

經(jīng)邊界無(wú)限安全攻防團(tuán)隊(duì)研判后，認(rèn)定該漏洞影響范圍極廣，漏洞危害極大。

影響判斷方式，用戶只需排查Java應(yīng)用是否引入 log4j-api , log4j-core 兩個(gè)jar。若存在應(yīng)用使用，極大可能會(huì)受到影響。

漏洞簡(jiǎn)介

漏洞名稱 : Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞

組件名稱 : Apache Log4j2

影響版本 : 2.0 ≤ Apache Log4j <= 2.14.1

漏洞類型 : 遠(yuǎn)程代碼執(zhí)行

利用條件 :

1、用戶認(rèn)證：不需要用戶認(rèn)證
2、前置條件：默認(rèn)配置
3、觸發(fā)方式：遠(yuǎn)程

綜合評(píng)價(jià) :

<綜合評(píng)定利用難度>：容易，無(wú)需授權(quán)即可遠(yuǎn)程代碼執(zhí)行。

<綜合評(píng)定威脅等級(jí)>：嚴(yán)重，能造成遠(yuǎn)程代碼執(zhí)行。

臨時(shí)解決方案

緊急緩解措施

（1）修改 jvm 參數(shù) -Dlog4j2.formatMsgNoLookups=true
（2）修改配置 log4j2.formatMsgNoLookups=True
（3）將系統(tǒng)環(huán)境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設(shè)置為 true

? 檢測(cè)方案

（1）由于攻擊者在攻擊過(guò)程中可能使用 DNSLog 進(jìn)行漏洞探測(cè)，建議企業(yè)可以通過(guò)流量監(jiān)測(cè)設(shè)備監(jiān)控是否有相關(guān) DNSLog 域名的請(qǐng)求，微步在線的 OneDNS 也已經(jīng)識(shí)別主流 DNSLog 域名并支持?jǐn)r截。
（2）根據(jù)目前微步在線對(duì)于此類漏洞的研究積累，我們建議企業(yè)可以通過(guò)監(jiān)測(cè)相關(guān)流量或者日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符來(lái)發(fā)現(xiàn)可能的攻擊行為。

當(dāng)前官方已發(fā)布最新版本，建議受影響的用戶及時(shí)更新升級(jí)到最新版本。

下載地址：Release log4j-2.15.0-rc1 · apache/logging-log4j2 · GitHub

到此這篇關(guān)于最新log4j2遠(yuǎn)程代碼執(zhí)行漏洞的文章就介紹到這了,更多相關(guān)log4j2遠(yuǎn)程代碼執(zhí)行漏洞內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論