Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。经确认Apache Log4j2 存在远程代码执行漏洞攻击代码。该漏洞利用无需特殊配置,入侵者可直接构造恶意请求,触发远程代码执行漏洞。经多方验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
【漏洞详情】
12月9日,启明星辰安全应急响应中心监测到网上披露Apache Log4j2 存在远程代码执行漏洞,该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
【影响版本】
受影响的版本:ApacheLog4j 2.x <= 2.14.1
【修复建议】
1. 升级版本
目前官方已经修复该漏洞,建议受影响产品尽快升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc2 版本:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2。
2. 临时方案
▸建议JDK使用6u211、7u201、8u191、11.0.1及以上的版本;
▸添加jvm启动参数:-Dlog4j2.formatMsgNoLookups=true;
▸添加log4j2.component.properties配置文件,增加如下内容为:
log4j2.formatMsgNoLookups=true;
▸系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true;
▸禁止安装log4j的服务器访问外网,并在边界对dnslog相关域名访问进行检测。
▸凡检测到包含“${jndi:ldap:”的关键字,直接阻断访问流量
▸使用如下官方临时补丁进行修复https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
▸在攻击过程中可能使用 DNSLog 进行漏洞探测,建议可以通过流量监测设备监控是否有相关 DNSLog 域名的请求。
3. 人工排查
相关用户可根据Java jar解压后是否存在org/apache/logging/log4j相关路径结构,判断是否使用了存在漏洞的组件,若存在相关Java程序包,则很可能存在该漏洞。
若程序使用Maven打包,查看项目的pom.xml文件中是否存在下图所示的相关字段,若版本号为小于2.15.0,则存在该漏洞。
若程序使用gradle打包,可查看build.gradle编译配置文件,若在dependencies部分存在org.apache.logging.log4j相关字段,且版本号为小于2.15.0,则存在该漏洞。
【启明星辰检测与防护类产品解决方案】
1. 天清入侵防御系统
天清入侵防御系统已经发布紧急特征库升级包,可在线升级或离线升级,即可对此攻击进行检测和防护。
2. 天清Web应用安全网关
天清Web应用安全网关已经发布紧急特征库升级包,可在线升级或离线升级,即可对此攻击进行检测和防护。
3. 天阗入侵检测与管理系系统
天阗入侵检测与管理系统已经发布紧急特征库升级包,可在线升级或离线升级,即可对此攻击进行检测。
4. 天阗超融合检测探针
天阗超融合检测探针已经发布紧急特征库升级包,可在线升级或离线升级,即可对此攻击进行检测。
5. 天阗威胁分析一体机
天阗威胁分析一体机已经发布紧急特征库升级包,可在线升级或离线升级,即可对此攻击进行检测。
6. 天阗高级持续性威胁检测与管理系统
天阗高级持续性威胁检测与管理系统已经发布紧急特征库升级包,可在线升级或离线升级,即可对此攻击进行检测。
启明星辰集团WAF、IPS、TAR、CSP、IDS、CS、APT产品特征库官网更新完毕,网关和安管不受此漏洞影响。复制链接(https://venustech.download.venuscloud.cn/),即可进入统一升级中心,下载所需升级包。
