快捷導(dǎo)航

Apache?Log4j2?遠(yuǎn)程代碼執(zhí)行漏洞分析+檢測(cè)+防護(hù)(最新推薦)

更新時(shí)間：2024年07月10日 12:24:10 作者：306Safe

Apache?Log4j2是一款開源的Java日志框架,被廣泛地應(yīng)用在中間件、開發(fā)框架與Web應(yīng)用中,用來記錄日志信息,這篇文章主要介紹了Apache?Log4j2?遠(yuǎn)程代碼執(zhí)行漏洞分析+檢測(cè)+防護(hù)(最新推薦),需要的朋友可以參考下

分析：

Apache Log4j2是一款開源的Java日志框架，被廣泛地應(yīng)用在中間件、開發(fā)框架與Web應(yīng)用中，用來記錄日志信息。由于Apache Log4j2某些功能存在遞歸解析功能，未經(jīng)身份驗(yàn)證的攻擊者通過發(fā)送特別構(gòu)造的數(shù)據(jù)請(qǐng)求包，可在目標(biāo)服務(wù)器上執(zhí)行任意代碼。漏洞PoC已在網(wǎng)上公開，默認(rèn)配置即可進(jìn)行利用，該漏洞影響范圍極廣，建議相關(guān)用戶盡快采取措施進(jìn)行排查與防護(hù)。

根據(jù)Iog4j的用途和復(fù)現(xiàn)的情況來看，攻擊入口取決于Iog4j從線上業(yè)務(wù)的哪些地方取數(shù)據(jù)放入 logger.error，所以沒有固定請(qǐng)求路徑。另外由于線上web業(yè)務(wù)的任何數(shù)據(jù)都可能寫入Iog4j，甚至一些pre-auth的地方，比如注冊(cè)、登錄，所以這個(gè)漏洞的影響可能會(huì)被放大到未授權(quán)命令執(zhí)行。

檢測(cè)：

人工檢測(cè)

1、相關(guān)用戶可根據(jù)Java jar解壓后是否存在org/apache/logging/log4j相關(guān)路徑結(jié)構(gòu)，判斷是否使用了存在漏洞的組件，若存在相關(guān)Java程序包，則很可能存在該漏洞。

2、若程序使用Maven打包，查看項(xiàng)目的pom.xml文件中是否存在下圖所示的相關(guān)字段，若版本號(hào)為小于2.15.0，則存在該漏洞。

3、若程序使用gradle打包，可查看build.gradle編譯配置文件，若在dependencies部分存在org.apache.logging.log4j相關(guān)字段，且版本號(hào)為小于2.15.0，則存在該漏洞。

4、檢測(cè)Ivy依賴版本是否低于 2.15.0

5、檢測(cè)SBT依賴版本是否低于 2.15.0

若沒有使用上述工具，那么可以全局搜索log4j的相關(guān)jar包。

受影響版本：

Apache Log4j 2.x <= 2.14.1

已知受影響應(yīng)用及組件：

Apache Solr

Apache Flink

Apache Druid

srping-boot-strater-log4j2

不受影響版本：

Apache log4j-2.15.0-rc1

防護(hù)：

1、升級(jí)

目前官方已發(fā)布測(cè)試版本修復(fù)該漏洞，受影響用戶可先將Apache Log4j2所有相關(guān)應(yīng)用到該版本，下載鏈接：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
注：由于此版本非正式發(fā)行版，可能出現(xiàn)不穩(wěn)定的情況，建議用戶在備份數(shù)據(jù)后再進(jìn)行升級(jí)。
升級(jí)供應(yīng)鏈中已知受影響的應(yīng)用及組件：Apache Solr、Apache Flink、Apache Druid、srping-boot-strater-log4j2

2、流量攔截 rulel $(jndi:ldap://rule2 $(jndi:rmi://

以上流量特征可能出現(xiàn)在流量中的任何地方，也包括各種類型的請(qǐng)求（GET、POST等），所以需要對(duì) 整個(gè)請(qǐng)求流量做特征匹配。

以上正則對(duì)業(yè)務(wù)中的正常jndi流量無影響（惡意流量須包含${jndi:rmi或${jndi:ldap，正常業(yè)務(wù)jndi流量通常只包含rmi://、 ldap:// ），但是如果你的正常流量也包含上述特征請(qǐng)慎用。

3、臨時(shí)防護(hù)

從官方給的信息和復(fù)現(xiàn)情況來看，利用手段是jndi注入無疑，jndi注入無非ldap、rmi,需要外連請(qǐng) 求Idap-server/exp-server，禁止外連能在一定程度上緩解，但是不能防御攻擊者已控其他內(nèi)部服務(wù) 器的情況。此外，JDK11.0.1、8u191、7u201、6u211或者更高版本默認(rèn)是無法利用JNDI注入，JDK6u141、7u131、8u121或者更高版本無法利用RMI注入，網(wǎng) 上的一些bypas s方法也是依賴本地特定的lib（相當(dāng)于找了新的gadgets），所以總結(jié)：

1、禁止使用Iog4j的服務(wù)器外連（日志服務(wù)器正常不需要外連）

并在邊界對(duì)dnslog相關(guān)域名訪問進(jìn)行檢測(cè)。

部分公共dnslog平臺(tái)如下：

ceye.io
dnslog.link
dnslog.cn
dnslog.io
tu4.org
awvsscan119.autoverify.cn
burpcollaborator.net
s0x.cn

2、建議JDK使用高版本

3、添加jvm啟動(dòng)參數(shù):-Dlog4j2.formatMsgNoLookups=true

4、在應(yīng)用classpath下添加log4j2.component.properties配置文件，文件內(nèi)容為：log4j2.formatMsgNoLookups=true

5、將系統(tǒng)環(huán)境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設(shè)置為 true

到此這篇關(guān)于Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞分析+檢測(cè)+防護(hù)的文章就介紹到這了,更多相關(guān)Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: