作者:SRE运维博客
博客地址:https://www.cnsre.cn/
文章地址:https://www.cnsre.cn/posts/211213210004/
相干话题:https://www.cnsre.cn/tags/Log4j/

近日的Log4j2,可是十分的火啊,我也是加班加点把补丁给打上了次安心。Apache Log4j2存在近程代码执行破绽,教训证,该破绽容许攻击者在指标服务器上执行任意代码,可导致服务器被黑客管制。因为Apache Log4j 2利用较为宽泛,倡议应用该组件的用户尽快采取安全措施。

影响范畴

破绽影响版本

2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1

破绽形容

Apache Log4j 2是一个基于Java的日志记录工具,是对 Log4j 的降级。近日安恒信息应急响应核心监测到Apache Log4j 2存在近程代码执行破绽,攻击者可通过结构歹意申请利用该破绽实现在指标服务器上执行任意代码。

破绽修复

因为Log4j2 作为日志记录根底第三方库,被大量Java框架及利用应用,只有用到 Log4j2 进行日志输入且日志内容能被攻击者局部可控,即可能会受到破绽攻打影响。因而,该破绽也同时影响寰球大量通用利用及组件,例如 :
Apache Struts2、Apache Solr、Apache Druid、Apache Flink、Apache Flume、Apache Dubbo、Apache Kafka、Spring-boot-starter-log4j2、ElasticSearch、Redis、Logstash等
倡议及时查看并降级所有应用了 Log4j 组件的零碎或利用。

紧急: 目前破绽POC已被公开,官网已公布平安版本,倡议应用该组件的用户尽快采取安全措施。

临时性缓解措施:

1、在 jvm 参数中增加 -Dlog4j2.formatMsgNoLookups=true
2、零碎环境变量中将LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true
3、创立 log4j2.component.properties 文件,文件中减少配置 log4j2.formatMsgNoLookups=true
4、若相干用户临时无奈进行降级操作,也可通过禁止Log4j中SocketServer类所启用的socket端对公网凋谢来进行防护
5、禁止装置log4j的服务器拜访外网,并在边界对dnslog相干域名拜访进行检测。局部公共dnslog平台如下

ceye.iodnslog.linkdnslog.cndnslog.iotu4.orgawvsscan119.autoverify.cnburpcollaborator.nets0x.cn

彻底修复破绽:

建议您在降级前做好数据备份工作,防止出现意外
研发代码修复:降级到官网提供的 log4j-2.15.0-rc2 版本
https://github.com/apache/log...

破绽检测工具

检测工具下载地址 https://pan.cnsre.cn/d/Package/Linux/360log4j2.zip

破绽检测

浏览器被动式扫描检测计划

  • 原理
    工程师可设置该代理通过浏览器被动扫描指标,查看 DNS Log 检测是否存在 log4j 破绽。
  • 应用办法
    1.浏览器或操作系统配置 HTTP/HTTPS 代理:219.141.219.69:18080

2.浏览器或操作系统将下列证书增加到信赖名单:附件sqli-hunter.pem

3.应用浏览器失常进行指标浏览,当完结扫描后,在http://219.141.219.69:18000/ 下查看是否存在以指标域名为名的 txt 文件,如 http://219.141.219.69/360.cn.txt

4.若存在,则阐明指标网站存在破绽,细节如下:

可看到残缺 HTTP 申请细节,params参数为存在 log4j 注入破绽的参数

  • 应用限度
  1. 主机外网 IP 无法访问 360 IP,请不要应用该代理扫描 360
  2. 目前只能检测 POST body 中的参数
  3. 不容许任何歹意攻打

本地扫描惯例检测计划

  1. 下载本地检测工具
  2. 扫描源码:./log4j-discoverer --src"源码目录"
  3. 扫描jar包:./log4j-discoverer--jar "jar包文件"
  4. 扫描零碎过程:./log4j-discoverer –scan

Log4j漏洞补丁计划

如果检测到相干破绽的利用或组件,倡议立刻对该利用或组件进行打补丁修复, Log4j补丁计划如下:

  • 工具原理

Hook前受到log4j jndi注入攻打

执行 java -jar PatchLog4j.jar

打入补丁后 log4j不再解决JNDI逻辑间接将JNDI字符串输入

工具起源【360政企安服高攻实验室】
作者:SRE运维博客
博客地址:https://www.cnsre.cn/
文章地址:https://www.cnsre.cn/posts/211213210004/
相干话题:https://www.cnsre.cn/tags/Log4j/