作者:SRE 运维博客
博客地址:https://www.cnsre.cn/
文章地址:https://www.cnsre.cn/posts/211213210004/
相干话题:https://www.cnsre.cn/tags/Log4j/
近日的 Log4j2,可是十分的火啊,我也是加班加点把补丁给打上了次安心。Apache Log4j2 存在近程代码执行破绽,教训证,该破绽容许攻击者在指标服务器上执行任意代码,可导致服务器被黑客管制。因为 Apache Log4j 2 利用较为宽泛,倡议应用该组件的用户尽快采取安全措施。
影响范畴
破绽影响版本:
2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1
破绽形容
Apache Log4j 2 是一个基于 Java 的日志记录工具,是对 Log4j 的降级。近日安恒信息应急响应核心监测到 Apache Log4j 2 存在近程代码执行破绽,攻击者可通过结构歹意申请利用该破绽实现在指标服务器上执行任意代码。
破绽修复
因为 Log4j2 作为日志记录根底第三方库,被大量 Java 框架及利用应用,只有用到 Log4j2 进行日志输入且日志内容能被攻击者局部可控,即可能会受到破绽攻打影响。因而,该破绽也同时影响寰球大量通用利用及组件,例如:
Apache Struts2、Apache Solr、Apache Druid、Apache Flink、Apache Flume、Apache Dubbo、Apache Kafka、Spring-boot-starter-log4j2、ElasticSearch、Redis、Logstash 等
倡议及时查看并降级所有应用了 Log4j 组件的零碎或利用。
紧急: 目前破绽 POC 已被公开,官网已公布平安版本,倡议应用该组件的用户尽快采取安全措施。
临时性缓解措施:
1、在 jvm 参数中增加 -Dlog4j2.formatMsgNoLookups=true
2、零碎环境变量中将 LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true
3、创立 log4j2.component.properties 文件,文件中减少配置 log4j2.formatMsgNoLookups=true
4、若相干用户临时无奈进行降级操作,也可通过禁止 Log4j 中 SocketServer 类所启用的 socket 端对公网凋谢来进行防护
5、禁止装置 log4j 的服务器拜访外网,并在边界对 dnslog 相干域名拜访进行检测。局部公共 dnslog 平台如下
ceye.io
dnslog.link
dnslog.cn
dnslog.io
tu4.org
awvsscan119.autoverify.cn
burpcollaborator.net
s0x.cn
彻底修复破绽:
建议您在降级前做好数据备份工作,防止出现意外
研发代码修复:降级到官网提供的 log4j-2.15.0-rc2 版本
https://github.com/apache/log…
破绽检测工具
检测工具下载地址 https://pan.cnsre.cn/d/Package/Linux/360log4j2.zip
破绽检测
浏览器被动式扫描检测计划
- 原理
工程师可设置该代理通过浏览器被动扫描指标,查看 DNS Log 检测是否存在 log4j 破绽。 - 应用办法
1. 浏览器或操作系统配置 HTTP/HTTPS 代理:219.141.219.69:18080
2. 浏览器或操作系统将下列证书增加到信赖名单:附件 sqli-hunter.pem
3. 应用浏览器失常进行指标浏览,当完结扫描后,在 http://219.141.219.69:18000/ 下查看是否存在以指标域名为名的 txt 文件,如 http://219.141.219.69/360.cn.txt
4. 若存在,则阐明指标网站存在破绽,细节如下:
可看到残缺 HTTP 申请细节,params 参数为存在 log4j 注入破绽的参数
- 应用限度
- 主机外网 IP 无法访问 360 IP,请不要应用该代理扫描 360
- 目前只能检测 POST body 中的参数
- 不容许任何歹意攻打
本地扫描惯例检测计划
- 下载本地检测工具
- 扫描源码:./log4j-discoverer –src” 源码目录 ”
- 扫描 jar 包:./log4j-discoverer–jar “jar 包文件 ”
- 扫描零碎过程:./log4j-discoverer –scan
Log4j 漏洞补丁计划
如果检测到相干破绽的利用或组件,倡议立刻对该利用或组件进行打补丁修复,Log4j 补丁计划如下:
- 工具原理
Hook 前受到 log4j jndi 注入攻打
执行 java -jar PatchLog4j.jar
打入补丁后 log4j 不再解决 JNDI 逻辑间接将 JNDI 字符串输入
工具起源【360 政企安服高攻实验室】
作者:SRE 运维博客
博客地址:https://www.cnsre.cn/
文章地址:https://www.cnsre.cn/posts/211213210004/
相干话题:https://www.cnsre.cn/tags/Log4j/