共计 2655 个字符,预计需要花费 7 分钟才能阅读完成。
2021 年 12 月 10 日,国家信息安全破绽共享平台(CNVD)收录了 Apache Log4j2 近程代码执行破绽,编号 CVE-2021-44228。
【破绽形容】
Apache Log4j2 是一款开源的 Java 日志记录工具,该工具重写了 Log4j 框架,并引入了大量丰盛个性,可管制日志信息输送的目的地为控制台、文件、GUI 组件等,在国内外利用十分宽泛。
12 月 10 日凌晨,Apache 开源我的项目 Apache Log4j 2 被曝出近程代码执行破绽,其存在 JNDI 注入破绽,攻击者利用该破绽,通过结构歹意申请在指标服务器上执行任意代码,导致服务器被攻击者管制,从而进行页面篡改、盗取数据等行为,危害性极高,简直所有行业都受到该破绽影响。
【验证等级】
CNVD 综合评级为“高危”
【影响范畴】
Java 类产品:Apache Log4j 2.x < 2.15.0-rc2
【修复倡议】
目前破绽 POC 已被公开,官网已公布平安版本,若是应用 Java 开发语言的零碎须要尽快确认是否应用 Apache Log4j 2 插件,并尽快降级到最新版本。
工夫点:
2021 年 12 月 7 日,Apache 官网公布 log4j-2.15.0-rc1
2021 年 12 月 10 日,Apache 官网公布 log4j-2.15.0-rc2
2021 年 12 月 11 日,Apache 官网公布 log4j-2.15.0(同 log4j-2.15.0-rc2)
2021 年 12 月 13 日,Apache 官网公布 log4j-2.16.0-rc1
地址:https://github.com/apache/log…
蚂蚁切面平安 RASP 应急止血计划
【RASP 详细分析】
蚂蚁切面平安 RASP 人造具备对 Log4j 破绽的防护能力,因为 RASP 是在应用程序外部 hook 要害函数,只关注执行动作,只有部署了 RASP 的利用可不依赖外界而具备自我爱护能力,即:RASP 自身对攻击者执行敏感门路下文件的读取 / 批改、发外链等动作已具备拦挡能力,攻击者无奈对利用造成太多高危破坏性攻打。
蚂蚁切面平安 RASP 针对 Log4j 破绽在高维水平仍做了应急措施,分为 3 个阶段:
第 1 阶段:无攻打 poc 时,基于猜想的计划都未采纳
- 从网络相干的注入点动手,通过查看是否蕴含 log4j 相干的堆栈来进行拦挡。毛病:惯例网络申请都会通过此注入点,需获取堆栈匹配,性能影响十分大。
- 从 JNDI 要害底层办法,通过查看是否蕴含 log4j 相干的堆栈来进行拦挡。毛病:需获取堆栈匹配,影响利用失常应用 JNDI 能力,有肯定性能影响。
第 2 阶段:拿到 poc 后,迅速制订和验证止血策略,确定 RASP 参战
因为 JNDI 对 log4j 来说是以插件模式存在,所以有对立的执行入口,由堆栈图可知 RASP 能够从几处进行拦挡解决,其中“InitialContext.java:417”为原生底层办法,毛病上文曾经提到,所以可用的点为“JndiManager.java:85”和“JndiManager.java:61”。其中注入点“JndiManager.java:85”为 2.1.x 后引入,注入点“JndiManager.java:85”可笼罩 2.x 所有版本,然而为防止通过其余破绽绕过执行,最终两个注入点都进行了拦挡包含获取 jdbc 连贯地址时应用 jndi 的状况也进行了拦挡,因为此种状况是通过 log4j2 配置而非内部输出触发。
毛病:无
长处:
- 因为不须要匹配任何参数,无需放心性能问题;
- 只有解析后的内容应用了 JNDI 才会触发,无需放心各种变种 payload,无反抗老本;
- 只针对 log4j2 本身应用 JNDI 的场景,不影响利用失常应用 JNDI 能力。
第 3 阶段:RASP 部署上线 + 止血策略公布,继续至今
蚂蚁平安团队依据危害水平开始紧急分批进行部署上线和止血策略公布工作。
- 第一天:被动外联的高危利用灰度预发环境止血实现。
- 第二天:被动外联的高危利用线上 93% 实现止血。
【RASP 应急止血成果】
- 拿到 poc 后 20 分钟即实现进攻策略并验证胜利。
- 2 小时内实现 log4j 2.x 所有版本包含对应 sec 版兼容性测试。
- 24 小时内实现高危利用预发和灰度环境的止血,并在生产环境小范畴验证。
- 48 小时实现 93% 高危利用生产环境止血。
【RASP 应急止血劣势】
劣势 1: 以数据为载体的破绽在业界很少见,导致 WAF 适用范围无限。攻击者一旦跨过边界在公司技术体系外部横向挪动根本无法管制,因而应用切面平安 RASP 技术从外部阻断拦挡更精准,成果更好。
劣势 2: 相比传统平安产品、官网版本修复形式,RASP 具备:
- 不用等官网计划,只有分明了破绽利用细节,RASP 即可开开始发挥作用。
- 应用切面 RASP 参战止血,使研发工程师防止了在短时间内以狗急跳墙形式应急,RASP 在争取了两周缓冲工夫的同时也不会打乱研发降级节奏,晋升了研发工程师幸福感。
- RASP 适配各种环境,无需思考降级版本兼容问题。
劣势 3: 蚂蚁平安团队已输入针对于 Log4j 破绽的专治小工具 minirasp,给生态搭档和外部一些非标技术栈的利用应急应用。定制的 minirasp 成果超出预期,在规范 RASP 不能笼罩的海量数据处理工作 job、海量 udf 中施展了关键作用,能止本次 Log4j 破绽隔山打牛之痛。
蚂蚁切面平安 RASP 为利用运行时平安提供疫苗级防护
当下网络安全局势愈发严厉,传统的基于流量检测的边界进攻产品极易被绕过,基于规定库更新的平安产品更是时效性低,此类后知后觉的平安产品已无奈满足平安市场需求。
2012 年 Gartner 首次提出一种新型 web 防护技术 —— RASP(Runtime Application self-Protection)。区别于传统平安产品,RASP 是一种基于行为和上下文语义剖析的新型平安技术,在应用程序外部 hook 要害函数,只关注执行动作,在不更新策略和不降级利用代码的状况下检测 / 拦挡未知破绽,RASP 像疫苗一样注入进利用实体外部,让利用不依赖外界而具备自我爱护能力。
一句话概括:装载 RASP 的利用对 Log4j2 破绽具备人造防护能力,此外,对于所有因 JNDI 注入导致的近程命令执行、文件目录列出、任意文件上传、敏感文件下载等行为均可实现拦挡。
另外,蚂蚁 RASP 也反对检测 / 拦挡内存马攻打、反序列化破绽、命令注入、任意文件上传、近程执行命令等,全笼罩 2021 版 OWASP TOP 10 中的 Web 应用程序平安危险类别。蚂蚁 RASP 为企业应用提供函数级实时防护,具备较强的启发式检测能力,秒级拦挡、应急止血,晋升平安水位,尤其适宜大量应用开源组件的互联网利用或应用第三方集成商开发的利用。