腾讯平安留神到,一个 Apache Log4j2 的高危破绽细节被公开,攻击者利用破绽能够近程执行代码。
破绽形容:
腾讯平安留神到,一个 Apache Log4j2 反序列化近程代码执行破绽细节已被公开,Log4j- 2 中存在 JNDI 注入破绽,当程序将用户输出的数据进行日志记录时,即可触发此破绽,胜利利用此破绽能够在指标服务器上执行任意代码。
Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰盛的个性。该日志框架被大量用于业务零碎开发,用来记录日志信息。大多数状况下,开发者可能会将用户输出导致的错误信息写入日志中。
因该组件应用极为宽泛,利用门槛很低,危害极大,腾讯平安专家建议所有用户尽快降级到平安版本。
破绽编号: 暂缺
破绽等级:
高危,该破绽影响范畴极广,危害极大。
CVSS 评分:10(最高级)
破绽状态:
受影响的版本:
Apache log4j2 2.0 – 2.14.1 版本均受影响。
平安版本:
Apache log4j-2.15.0-rc1
破绽复现与验证:
腾讯平安专家已第一工夫对该破绽进行复现验证
破绽修复计划:
Apache 官网已公布补丁,腾讯平安专家建议受影响的用户尽快降级到平安版本。
补丁下载地址:
https://github.com/apache/log…
破绽缓解措施:
(1)jvm 参数 -Dlog4j2.formatMsgNoLookups=true
(2)log4j2.formatMsgNoLookups=True
腾讯平安解决方案:
腾讯 T -Sec Web 利用防火墙(WAF)、腾讯 T -Sec 高级威逼检测零碎(NDR、御界)、腾讯 T -Sec 云防火墙已反对检测拦挡利用 Log4j2 近程代码执行破绽的攻打流动。
腾讯 T -Sec 主机平安(云镜)、腾讯容器平安服务(TCSS)已反对检测企业资产(主机、容器及镜像)是否存在 Apache Log4j2 近程代码执行破绽。
自助处理手册:
- 应用腾讯 T -Sec 云防火墙进攻破绽攻打
腾讯 T -Sec 云防火墙已新增虚构补丁规定反对阻断利用 Apache Log4j2 近程代码执行破绽的攻打,客户能够开明腾讯云防火墙高级版进行进攻。
在腾讯云控制台界面,关上入侵进攻设置即可,腾讯云防火墙的虚构补丁机制能够无效抵挡破绽利用。
- 应用腾讯 T -Sec Web 利用防火墙(WAF)进攻破绽攻打
登录腾讯云 Web 利用防火墙控制台,顺次关上左侧“资产核心 - 域名列表”,增加域名并开启防护即可。步骤细节如下:
腾讯云 Web 利用防火墙控制台:资产核心 -> 域名列表,点击增加域名:
SaaS 类型域名接入,输出域名,配置端口,源站地址或者域名,点击确定即可,新增之后防护默认关上
负载平衡类型域名接入,输出域名,配置代理,负载平衡监听器,点击确定即可,新增之后防护默认关上
域名列表查看配置,防护开关、回源 IP 等接入状况,确认接入胜利。
3. 应用腾讯 T -Sec 主机平安(云镜)检测修复破绽。
登录腾讯主机平安控制台,顺次关上左侧“破绽治理”,对扫描到的零碎组件破绽、web 利用破绽、利用破绽进行排查。步骤细节如下:
主机平安(云镜)控制台:关上破绽治理 -> 系统漏洞治理,点击一键检测:
查看扫描到的 Apache Log4j 组件近程代码执行破绽危险我的项目:
确认资产存在 Apache Log4j 组件近程代码执行破绽危险:
降级 Apache Log4j 到平安版本
回到主机平安(云镜)控制台再次关上“破绽治理”,从新检测确保资产不受 Apache Log4j 组件近程代码执行破绽影响。
- 应用腾讯 T -Sec 容器平安服务检测修复镜像破绽
登陆腾讯容器平安服务控制台,顺次关上左侧“镜像平安”,对本地镜像和仓库镜像进行排查。步骤细节如下:
1)容器平安服务控制台:关上本地镜像 / 仓库镜像 - 点击一键检测,批量抉择 Apache Log4j 组件关联镜像,确认一键扫描:
2)扫描结束,单击详情确认资产存在 Apache Log4j 组件近程代码执行破绽危险
3)降级到 pache Log4j 到平安版本
4)回到容器平安服务控制台再次关上“镜像平安”,从新检测确保资产不受 Apache Log4j 组件近程代码执行破绽影响。