Apache Log4j2 高危漏洞应急响应处置方法汇总整理

本文涉及的产品
检索分析服务 Elasticsearch 版,2核4GB开发者规格 1个月
简介: Apache Log4j2 高危漏洞应急响应处置方法汇总整理

640.png

Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。


漏洞利用无需特殊配置, 经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。


2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0 正式版本。


阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。


640.jpg


2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914)


640.jpg



CVE编号:CVE-2021-44228


640.jpg

各大厂商的发布的安全公告可以参考特大号的公众号文章:


https://mp.weixin.qq.com/s/vKiG3P7V5qXL1gUAeKVy0w


目前可能的受影响应用组件包括但不限于:Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等


在实际生产环境,虽然很多系统并未使用Java,但后台的服务中大量使用了ElasticSearch、Kafka、Estorm、Logstash等Java实现的开源组件,也会通过前台的输入产生实际影响。因此,实际影响面远超想象


640.png



一、漏洞检测工具


1、微步在线提供的免费Log4j2漏洞资产排查工具下载!


640.jpg




https://static.threatbook.cn/tools/log4j-local-check.sh


使用方式如下截图所示


wget https://static.threatbook.cn/tools/log4j-local-check.sh
sh log4j-local-check.sh


640.jpg


2、长亭科技也提供了在线检测工具


https://log4j2-detector.chaitin.cn/

640.jpg

https://chaitin-marketing-public.cn-beijing.oss.aliyuncs.com/log4j.tgz


工具检测使用示例截图

1、共两条命令,先执行第一条命令,不要中断,然后再启动一个终端执行第二条命令

2、注意两条命令需要在同一个目录下执行

640.jpg

640.jpg

640.jpg

640.jpg


json格式美化后的结果
{
    "results": [
        {
            "arch": "", 
            "container_id": "", 
            "edition": "", 
            "path": "/usr/share/graylog-server/graylog.jar#META-INF/maven/org.apache.logging.log4j/log4j-core/pom.xml", 
            "product": "log4j-core", 
            "vendor": "org.apache.logging.log4j", 
            "version": "2.13.3"
        }, 
        {
            "arch": "", 
            "container_id": "", 
            "edition": "", 
            "path": "/usr/share/elasticsearch/bin/elasticsearch-sql-cli-7.14.0.jar#META-INF/maven/org.apache.logging.log4j/log4j-core/pom.xml", 
            "product": "log4j-core", 
            "vendor": "org.apache.logging.log4j", 
            "version": "2.11.1"
        }, 
        {
            "arch": "", 
            "container_id": "", 
            "edition": "", 
            "path": "/usr/share/elasticsearch/lib/elasticsearch-7.14.0.jar#META-INF/MANIFEST.MF", 
            "product": "elasticsearch", 
            "vendor": "elastic", 
            "version": "7.14.0"
        }, 
        {
            "arch": "", 
            "container_id": "", 
            "edition": "", 
            "path": "/usr/share/elasticsearch/lib/log4j-core-2.11.1.jar#META-INF/maven/org.apache.logging.log4j/log4j-core/pom.xml", 
            "product": "log4j-core", 
            "vendor": "org.apache.logging.log4j", 
            "version": "2.11.1"
        }
    ]
}

二、Log4j2 漏洞修复建议

临时性缓解措施(任选一种,但是注意,只有 >=2.10.0 版本才可以用,老版本不支持这个选项)


  • 1、在 jvm 参数中添加 -Dlog4j2.formatMsgNoLookups=true
  • 2、系统环境变量中将LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true 据说之前这个 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true方法无效,目前需要更正为 LOG4J_FORMAT_MSG_NO_LOOKUPS设置为true
  • 3、创建 log4j2.component.properties 文件,文件中增加配置 log4j2.formatMsgNoLookups=true 彻底修复漏洞:


方案一、研发代码修复:升级到官方提供的 log4j-2.15.0-rc2 版本


升级Apache Log4j所有相关应用到最新的 Log4j-2.15.0官方稳定版本。下载地址:


https://logging.apache.org/log4j/2.x/download.html


方案二、生产环境修复


https://github.com/zhangyoufu/log4j2-without-jndi


由长亭工程师提供的删除了 JndiLookup.class 的对应版本直接替换重启即可。(如果不放心网上下载的版本,也可以自己手动解压删除:


zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class


删除jar包里的这个漏洞相关的class,然后重启服务即可)


三、建议的应急处置方法


安全工程师可以参照以下流程排查风险并加固


1、攻击识别


在边界防护设备上增加针对该漏洞攻击拦截策略,例如WAF、FW、IPS等,目前各大安全厂商基本上已经于12月10号已经更新的漏洞特征库或入侵防御特征库

在内网流量或者日志分析设备上增加识别策略


640.jpg



2、主机资产加固


在主机资产的防护系统,例如主机安全产品(例如椒图云锁,EDR等)上增加防护策略 通过扫描器主动扫描网络、主机安全产品盘点和发现资产、综合排查出受影响的资产

可以结合堡垒机批量运维功能,批量下发并执行检测脚本梳理有漏洞的资产


cd /opt;wget https://static.threatbook.cn/tools/log4j-local-check.sh;sh log4j-local-check.sh;


3、限制受影响应用对外访问互联网,并在边界对dnslog相关域名访问进行检测。


640.jpg

640.jpg

部分公共dnslog平台如下:


ceye.io
dnslog.link
dnslog.cn
dnslog.io
tu4.org
burpcollaborator.net
s0x.cn


建议直接在出口防火墙上对这些域名做阻断


附腾讯安全提供的IOC情报域名建议也加入阻断名单


640.jpg


4、后期漏洞整改


对已经梳理出受漏洞影响的资产清单参考上面的漏洞修复建议进行 对于无法加固的系统,实现离线/隔离、加强主机安全监控、增加边界防护策略

相关实践学习
使用阿里云Elasticsearch体验信息检索加速
通过创建登录阿里云Elasticsearch集群,使用DataWorks将MySQL数据同步至Elasticsearch,体验多条件检索效果,简单展示数据同步和信息检索加速的过程和操作。
ElasticSearch 入门精讲
ElasticSearch是一个开源的、基于Lucene的、分布式、高扩展、高实时的搜索与数据分析引擎。根据DB-Engines的排名显示,Elasticsearch是最受欢迎的企业搜索引擎,其次是Apache Solr(也是基于Lucene)。 ElasticSearch的实现原理主要分为以下几个步骤: 用户将数据提交到Elastic Search 数据库中 通过分词控制器去将对应的语句分词,将其权重和分词结果一并存入数据 当用户搜索数据时候,再根据权重将结果排名、打分 将返回结果呈现给用户 Elasticsearch可以用于搜索各种文档。它提供可扩展的搜索,具有接近实时的搜索,并支持多租户。
相关文章
|
3月前
|
存储 消息中间件 Java
Apache Flink 实践问题之原生TM UI日志问题如何解决
Apache Flink 实践问题之原生TM UI日志问题如何解决
46 1
|
6月前
|
存储 安全 数据挖掘
带你读《Apache Doris 案例集》——06 Apache Doris 助力中国联通万亿日志数据分析提速10倍(1)
带你读《Apache Doris 案例集》——06 Apache Doris 助力中国联通万亿日志数据分析提速10倍(1)
313 1
|
3月前
|
消息中间件 Ubuntu Java
在Ubuntu 18.04上安装Apache Kafka的方法
在Ubuntu 18.04上安装Apache Kafka的方法
186 0
ly~
|
1月前
|
监控 安全 生物认证
针对身份验证错误和漏洞,有哪些应急响应措施 发消息、输入 @ 或 / 选择技能
针对身份验证错误和漏洞,应立即停止相关服务,锁定受攻击账户,排查问题,修复漏洞,加强密码安全,完善身份验证流程,强化会话管理,建立安全监控和预警机制,通知用户并进行沟通,最后进行事后评估和总结。
ly~
50 2
|
1月前
apache+tomcat配置多站点集群的方法
apache+tomcat配置多站点集群的方法
33 4
|
3月前
|
存储 消息中间件 人工智能
AI大模型独角兽 MiniMax 基于阿里云数据库 SelectDB 版内核 Apache Doris 升级日志系统,PB 数据秒级查询响应
早期 MiniMax 基于 Grafana Loki 构建了日志系统,在资源消耗、写入性能及系统稳定性上都面临巨大的挑战。为此 MiniMax 开始寻找全新的日志系统方案,并基于阿里云数据库 SelectDB 版内核 Apache Doris 升级了日志系统,新系统已接入 MiniMax 内部所有业务线日志数据,数据规模为 PB 级, 整体可用性达到 99.9% 以上,10 亿级日志数据的检索速度可实现秒级响应。
AI大模型独角兽 MiniMax 基于阿里云数据库 SelectDB 版内核 Apache Doris 升级日志系统,PB 数据秒级查询响应
|
3月前
|
Ubuntu Linux 测试技术
在Linux中,已知 apache 服务的访问日志按天记录在服务器本地目录/app/logs 下,由于磁盘空间紧张现在要求只能保留最近7天的访问日志,请问如何解决?
在Linux中,已知 apache 服务的访问日志按天记录在服务器本地目录/app/logs 下,由于磁盘空间紧张现在要求只能保留最近7天的访问日志,请问如何解决?
|
3月前
|
存储 Ubuntu Apache
如何在 Ubuntu VPS 上配置 Apache 的日志记录和日志轮转
如何在 Ubuntu VPS 上配置 Apache 的日志记录和日志轮转
48 6
|
3月前
|
消息中间件 Java Kafka
【Azure 事件中心】开启 Apache Flink 制造者 Producer 示例代码中的日志输出 (连接 Azure Event Hub Kafka 终结点)
【Azure 事件中心】开启 Apache Flink 制造者 Producer 示例代码中的日志输出 (连接 Azure Event Hub Kafka 终结点)
|
3月前
|
Ubuntu 关系型数据库 MySQL
在 Ubuntu 14.04 服务器上使用 Apache 安装 Drupal 的方法
在 Ubuntu 14.04 服务器上使用 Apache 安装 Drupal 的方法
41 0

推荐镜像

更多