0x01Apache Log4j2简介
Apache Log4j2是Apache Log4j的升级,参考了Logback进行改进,同时修复了Logback架构中的一些固有问题。Apache Log4j2是一款强大的JAVA日志框架,在各种JAVA项目中被广泛的应用。
0x02 漏洞介绍
由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
目前日志易安全团队已复现该漏
0x03 漏洞影响
Apache Log4j2 version < Apache Log4j2 2.15.0-rc2
0x04 漏洞利用检测
1、通过日志易SIEM安全大数据平台与NTA结合进行检测
基于漏洞复现与研究,进行漏洞尝试利用时,往往会发送的恶意HTTP请求,而URL或请求体可能会携带"${jndi:...}"参数,我们可以使用日志易NTA进行检测(目前已更新NTA规则库),威胁告警如下。
点击查看告警详情,分析具体的告警Payload,如下图(URL部分)所示。
请求体检测,触发的告警如下图所示。
2、通过日志易SIEM安全大数据分析平台中的日志对历史数据进行排查分析
通过日志易自研的搜索处理语言SPL(Search Processing Language)对Payload特征进行分析与检测,主要有
l "${jndi:ldap://"
l "${jndi:rmi://"
l "${jndi:ldaps://"
0x05 漏洞修复
1、目前官方已发布测试版本修复该漏洞,受影响用户可自行更新。
下载链接:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2、缓解措施
① 设置参数:
log4j2.formatMsgNoLookups=True
② 设置JVM参数:
-Dlog4j2.formatMsgNoLookups=true
③ 设置系统环境变量:
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true
