关于log4j2:Log4j-漏洞修复检测-附检测工具

51次阅读

共计 2047 个字符,预计需要花费 6 分钟才能阅读完成。

作者:SRE 运维博客
博客地址:https://www.cnsre.cn/
文章地址:https://www.cnsre.cn/posts/211213210004/
相干话题:https://www.cnsre.cn/tags/Log4j/

近日的 Log4j2,可是十分的火啊,我也是加班加点把补丁给打上了次安心。Apache Log4j2 存在近程代码执行破绽,教训证,该破绽容许攻击者在指标服务器上执行任意代码,可导致服务器被黑客管制。因为 Apache Log4j 2 利用较为宽泛,倡议应用该组件的用户尽快采取安全措施。

影响范畴

破绽影响版本

2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1

破绽形容

Apache Log4j 2 是一个基于 Java 的日志记录工具,是对 Log4j 的降级。近日安恒信息应急响应核心监测到 Apache Log4j 2 存在近程代码执行破绽,攻击者可通过结构歹意申请利用该破绽实现在指标服务器上执行任意代码。

破绽修复

因为 Log4j2 作为日志记录根底第三方库,被大量 Java 框架及利用应用,只有用到 Log4j2 进行日志输入且日志内容能被攻击者局部可控,即可能会受到破绽攻打影响。因而,该破绽也同时影响寰球大量通用利用及组件,例如:
Apache Struts2、Apache Solr、Apache Druid、Apache Flink、Apache Flume、Apache Dubbo、Apache Kafka、Spring-boot-starter-log4j2、ElasticSearch、Redis、Logstash 等
倡议及时查看并降级所有应用了 Log4j 组件的零碎或利用。

紧急: 目前破绽 POC 已被公开,官网已公布平安版本,倡议应用该组件的用户尽快采取安全措施。

临时性缓解措施:

1、在 jvm 参数中增加 -Dlog4j2.formatMsgNoLookups=true
2、零碎环境变量中将 LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true
3、创立 log4j2.component.properties 文件,文件中减少配置 log4j2.formatMsgNoLookups=true
4、若相干用户临时无奈进行降级操作,也可通过禁止 Log4j 中 SocketServer 类所启用的 socket 端对公网凋谢来进行防护
5、禁止装置 log4j 的服务器拜访外网,并在边界对 dnslog 相干域名拜访进行检测。局部公共 dnslog 平台如下

ceye.io
dnslog.link
dnslog.cn
dnslog.io
tu4.org
awvsscan119.autoverify.cn
burpcollaborator.net
s0x.cn

彻底修复破绽:

建议您在降级前做好数据备份工作,防止出现意外
研发代码修复:降级到官网提供的 log4j-2.15.0-rc2 版本
https://github.com/apache/log…

破绽检测工具

检测工具下载地址 https://pan.cnsre.cn/d/Package/Linux/360log4j2.zip

破绽检测

浏览器被动式扫描检测计划

  • 原理
    工程师可设置该代理通过浏览器被动扫描指标,查看 DNS Log 检测是否存在 log4j 破绽。
  • 应用办法
    1. 浏览器或操作系统配置 HTTP/HTTPS 代理:219.141.219.69:18080

2. 浏览器或操作系统将下列证书增加到信赖名单:附件 sqli-hunter.pem

3. 应用浏览器失常进行指标浏览,当完结扫描后,在 http://219.141.219.69:18000/ 下查看是否存在以指标域名为名的 txt 文件,如 http://219.141.219.69/360.cn.txt

4. 若存在,则阐明指标网站存在破绽,细节如下:

可看到残缺 HTTP 申请细节,params 参数为存在 log4j 注入破绽的参数

  • 应用限度
  1. 主机外网 IP 无法访问 360 IP,请不要应用该代理扫描 360
  2. 目前只能检测 POST body 中的参数
  3. 不容许任何歹意攻打

本地扫描惯例检测计划

  1. 下载本地检测工具
  2. 扫描源码:./log4j-discoverer –src” 源码目录 ”
  3. 扫描 jar 包:./log4j-discoverer–jar “jar 包文件 ”
  4. 扫描零碎过程:./log4j-discoverer –scan

Log4j 漏洞补丁计划

如果检测到相干破绽的利用或组件,倡议立刻对该利用或组件进行打补丁修复,Log4j 补丁计划如下:

  • 工具原理

Hook 前受到 log4j jndi 注入攻打

执行 java -jar PatchLog4j.jar

打入补丁后 log4j 不再解决 JNDI 逻辑间接将 JNDI 字符串输入

工具起源【360 政企安服高攻实验室】

作者:SRE 运维博客
博客地址:https://www.cnsre.cn/
文章地址:https://www.cnsre.cn/posts/211213210004/
相干话题:https://www.cnsre.cn/tags/Log4j/

正文完
log4j2
发表至: log4j2
2021-12-13
 0
关于log4j2:近期业务大量突增微服务性能优化总结2开发日志输出异常堆栈的过滤插件
关于log4j2:SpringBoot集成Log4j2日志框架
关于log4j2:谷歌公布-Log4j-2-漏洞调查结果未受影响Google-Workspace-核心服务并未使用-Log4j-2
关于log4j2:获取异常信息里再出异常就找不到日志了我TM人傻了