Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
漏洞利用无需特殊配置, 经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0 正式版本。
阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。
2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914)
CVE编号:CVE-2021-44228
各大厂商的发布的安全公告可以参考特大号的公众号文章:
https://mp.weixin.qq.com/s/vKiG3P7V5qXL1gUAeKVy0w
目前可能的受影响应用组件包括但不限于:Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等
在实际生产环境,虽然很多系统并未使用Java,但后台的服务中大量使用了ElasticSearch、Kafka、Estorm、Logstash等Java实现的开源组件,也会通过前台的输入产生实际影响。因此,实际影响面远超想象
一、漏洞检测工具
1、微步在线提供的免费Log4j2漏洞资产排查工具下载!
https://static.threatbook.cn/tools/log4j-local-check.sh
使用方式如下截图所示
wget https://static.threatbook.cn/tools/log4j-local-check.sh sh log4j-local-check.sh
2、长亭科技也提供了在线检测工具
https://log4j2-detector.chaitin.cn/
https://chaitin-marketing-public.cn-beijing.oss.aliyuncs.com/log4j.tgz
工具检测使用示例截图
1、共两条命令,先执行第一条命令,不要中断,然后再启动一个终端执行第二条命令
2、注意两条命令需要在同一个目录下执行
json格式美化后的结果 { "results": [ { "arch": "", "container_id": "", "edition": "", "path": "/usr/share/graylog-server/graylog.jar#META-INF/maven/org.apache.logging.log4j/log4j-core/pom.xml", "product": "log4j-core", "vendor": "org.apache.logging.log4j", "version": "2.13.3" }, { "arch": "", "container_id": "", "edition": "", "path": "/usr/share/elasticsearch/bin/elasticsearch-sql-cli-7.14.0.jar#META-INF/maven/org.apache.logging.log4j/log4j-core/pom.xml", "product": "log4j-core", "vendor": "org.apache.logging.log4j", "version": "2.11.1" }, { "arch": "", "container_id": "", "edition": "", "path": "/usr/share/elasticsearch/lib/elasticsearch-7.14.0.jar#META-INF/MANIFEST.MF", "product": "elasticsearch", "vendor": "elastic", "version": "7.14.0" }, { "arch": "", "container_id": "", "edition": "", "path": "/usr/share/elasticsearch/lib/log4j-core-2.11.1.jar#META-INF/maven/org.apache.logging.log4j/log4j-core/pom.xml", "product": "log4j-core", "vendor": "org.apache.logging.log4j", "version": "2.11.1" } ] }
二、Log4j2 漏洞修复建议
临时性缓解措施(任选一种,但是注意,只有 >=2.10.0 版本才可以用,老版本不支持这个选项)
- 1、在 jvm 参数中添加 -Dlog4j2.formatMsgNoLookups=true
- 2、系统环境变量中将LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true 据说之前这个 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true方法无效,目前需要更正为 LOG4J_FORMAT_MSG_NO_LOOKUPS设置为true
- 3、创建 log4j2.component.properties 文件,文件中增加配置 log4j2.formatMsgNoLookups=true 彻底修复漏洞:
方案一、研发代码修复:升级到官方提供的 log4j-2.15.0-rc2 版本
升级Apache Log4j所有相关应用到最新的 Log4j-2.15.0官方稳定版本。下载地址:
https://logging.apache.org/log4j/2.x/download.html
方案二、生产环境修复
https://github.com/zhangyoufu/log4j2-without-jndi
由长亭工程师提供的删除了 JndiLookup.class 的对应版本直接替换重启即可。(如果不放心网上下载的版本,也可以自己手动解压删除:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
删除jar包里的这个漏洞相关的class,然后重启服务即可)
三、建议的应急处置方法
安全工程师可以参照以下流程排查风险并加固
1、攻击识别
在边界防护设备上增加针对该漏洞攻击拦截策略,例如WAF、FW、IPS等,目前各大安全厂商基本上已经于12月10号已经更新的漏洞特征库或入侵防御特征库
在内网流量或者日志分析设备上增加识别策略
2、主机资产加固
在主机资产的防护系统,例如主机安全产品(例如椒图云锁,EDR等)上增加防护策略 通过扫描器主动扫描网络、主机安全产品盘点和发现资产、综合排查出受影响的资产
可以结合堡垒机批量运维功能,批量下发并执行检测脚本梳理有漏洞的资产
cd /opt;wget https://static.threatbook.cn/tools/log4j-local-check.sh;sh log4j-local-check.sh;
3、限制受影响应用对外访问互联网,并在边界对dnslog相关域名访问进行检测。
部分公共dnslog平台如下:
ceye.io dnslog.link dnslog.cn dnslog.io tu4.org burpcollaborator.net s0x.cn
建议直接在出口防火墙上对这些域名做阻断
附腾讯安全提供的IOC情报域名建议也加入阻断名单
4、后期漏洞整改
对已经梳理出受漏洞影响的资产清单参考上面的漏洞修复建议进行 对于无法加固的系统,实现离线/隔离、加强主机安全监控、增加边界防护策略
