开发者

Apache Log4j2 远程代码执行漏洞分析+检测+防护(最新推荐)

目录
  • 分析:
  • 检测:
  • 防护:
    • 1、升级
    • 2、流量拦截 rulel $(jndi:ldap://rule2 $(jndi:rmi:// 
    • 3、临时防护

分析:

    Apache Log4j2是一款开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中,用来记录日志信息。由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞PoC已在网上公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。

    根据Iog4j的用途和复现的情况来看,攻击入口取决于Iog4j从线上业务的哪些地方取数据放入 jslogger.error,所以没有固定请求路径。另外由于线上web业务的任何数据都可能写入Iog4j,甚 至一些pre-auth的地方,比如注册、登录,所以这个漏洞的影响可能会被放大到未授权命令执行。  

检测:

 人工检测

1、相关用户可根据Java jar解压后是否存在org/apache/logging/log4j相关路径结构,判断是否使用了存在漏洞的组件,若存在相关Java程序包,则很可能存在该漏洞。

Apache Log4j2 远程代码执行漏洞分析+检测+防护(最新推荐)

2、若程序使用Maven打包,查看项目的pom.XML文件中是否存在下图所示的相关字段,若版本号为小于2.15.0,则存在该漏洞。

Apache Log4j2 远程代码执行漏洞分析+检测+防护(最新推荐)

3、若程序使用gradle打包,可查看build.gradle编译配置文件,若在dependencies部分存在org.apache.logging.log4j相关字段,且版本号为小于2.15.0,则存在该漏洞。

Apache Log4j2 远程代码执行漏洞分析+检测+防护(最新推荐)

4、检测Ivy依赖版本是否低于 2.15.0

Apache Log4j2 远程代码执行漏洞分析+检测+防护(最新推荐)

5、 检测SBT依赖版本是否低于 2.15.0

Apache Log4j2 远程代码执行漏洞分析+检测+防护(最新推荐)

若没有使用上述工具,那么可以全局搜索log4j的相关jar包。 

受影响版本:

Apache Log4j 2.x <= 2.14.1

已知受影响应用及组件:

Apache Solr

Apache Flink

Apache Druid

srping-boot-strater-log4j2

更多组件可参考如下链接:

https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1

不受影响版本:

Apache log4j-2.15.0-rc1

防护:

1、升级

目前官方已发布测试版本修复该漏洞,受影响用户可先将Apache Log4j2所有相关应用到该版本,下载链接:https://github.com/apache/logging-log4phpj2/releases/tag/log4j-2.15.0-rc1

注:由于此版本非正式发行版,可能出现不稳定的情况,建议用户在备份数据后再进行升级。

升级供应链中已知受影响的应用及组件:Apache Solr、Apache Flink、Apache Druid、srping-boot-strater-log4j2

2、流量拦截 rulel $(jndi:ldap://rule2 $(jndi:rmi:// 

以上流量特征可能出现在流量中的任何地方,也包括各种类型的请求(GET、POST等),所以需要对 整个请求流量做特征匹配。

以上正则对业务中的正常jndi流量无影响(恶意MTopQvVHTr流量须包含${jndi:rmi或${jndi:ldap,正常 业务jndi流量通常只包含rmi://、 ldap:// ),但是如果你的正常流量也包含上述特征请慎用。

3、临时防护

从官方给的信息和复现情况来看,利用手段是jndi注入无疑,jndi注入无非ldap、rmi,需要外连请 求Idap-server/exp-server,禁止外连能在一定程度上缓解,但是不能防御攻击者已控其他内部服务 器的情况。此外,JDK11.0.1、8u191、7u201、6u211或者编程更高版本默认是无法利用JNDI注入,JDK6u141、7u131、8u121或者更高版本无法利用RMI注入,网 上的一些bypas s方法也是依赖本地特定的lib(相当于找了新的gadgets),所以总结:

1、禁止使用Iog4j的服务器外连(日志服务器正常不需要外连)

     并在边界对dnslog相关域名访问进行检测。

     部分公共dnslog平台python如下:

     ceye.io

     dnslog.link

     dnslog.cn

     dnslog.io

     tu4.org

     awvsscan119.autoverify.cn

     burpcollaborator.net

     s0x.cn

2、建议JDK使用高版本

3、添加jvm启动参数:-Dlog4j2.formatMsgNoLookups=true

Apache Log4j2 远程代码执行漏洞分析+检测+防护(最新推荐)

4、在应用classpath下添加log4j2.component.properties配置文件,文件内容为:log4j2.formatMsgNoLookups=true

Apache Log4j2 远程代码执行漏洞分析+检测+防护(最新推荐)

5、将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

到此这篇关于Apache Log4j2 远程代码执行漏洞分析+检测+防护的文章就介绍到这了,更多相关Apache Log4j2 远程代码执行漏洞内容请搜索编程客栈(www.devze.com)以前的文章或继续浏览下面的相关文章希望大家以后多多支持编程客栈(www.devze.com)!

0

上一篇:

下一篇:

精彩评论

暂无评论...
验证码 换一张
取 消

最新运维

运维排行榜