起床!史詩級Log4j漏洞已引起大規模入侵,猛擊檢視快速檢測技巧

01 概要

近日, Apache Log4j2 的遠端程式碼執行漏洞細節被公開,該漏洞一旦被攻擊者利用會造成嚴重危害。經過快速分析和確認,該漏洞影響範圍極其廣泛,危害極其嚴重,我們建議企業第一時間啟動應急響應進行修復。此外,經過我們復現和驗證,TDP 基於其自研的通用漏洞檢測引擎,已於數月前支援對此次最新漏洞的檢測,無需任何更新:
02 漏洞概況

Apache Log4j2 是一款開源的 Java 日誌記錄工具,大量的業務框架都使用了該元件。此次漏洞是用於 Log4j2 提供的 lookup 功能造成的,該功

能允許開發者透過一些協議去讀取相應環境中的配置。但在實現的過程中,並未對輸入進行嚴格的判斷,從而造成漏洞的發生。漏洞復現如圖所示:

此次受影響版本如下:
Log4j2版本
是否受影響
2.x<=2.14.1
可能的受影響應用包括但不限於如下:
  • Spring-Boot-strater-log4j2
  • Apache Struts2
  • Apache Solr
  • Apache Flink
  • Apache Druid
  • ElasticSearch
  • flume
  • dubbo
  • Redis
  • logstash

  • kafka

03 漏洞評估

公開程度:漏洞細節已公開

利用條件:無許可權要求
互動要求:0 click
漏洞危害:高危、遠端程式碼執行
影響範圍:Log4j2.x <= 2.14.1
04 檢測及修復方案

1、緊急緩解措施

(1) 修改jvm引數 -Dlog4j2.formatMsgNoLookups=true
(2) 修改配置log4j2.formatMsgNoLookups=True
(3) 將系統環境變數 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設定為 true
2、檢測方案:
(1)由於攻擊者在攻擊過程中可能使用 DNSLog 進行漏洞探測,建議企業可以透過流量監測裝置監控是否有相關 DNSLog 域名的請求,微步線上的 OneDNS 也已經識別主流 DNSLog 域名並支援攔截。
(2)根據目前微步線上對於此類漏洞的研究積累,我們建議企業可以透過監測相關流量或者日誌中是否存在“jndi:ldap://”、“jndi:rmi”等字元來發現可能的攻擊行為。
3、修復方案:
檢查所有使用了 Log4j2 元件的系統,官方修復連結如下:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
05 時間線

2021.07     微步TDP支援JNDI命令注入漏洞檢測

2021.12.09漏洞細節被公開

點選下方名片,關注我們

第一時間為您推送最新威脅情報

閱讀原文