2021年12月10日,国家信息安全破绽共享平台(CNVD)收录了Apache Log4j2近程代码执行破绽,编号CVE-2021-44228。

【破绽形容】
Apache Log4j2是一款开源的Java日志记录工具,该工具重写了Log4j框架,并引入了大量丰盛个性,可管制日志信息输送的目的地为控制台、文件、GUI组件等,在国内外利用十分宽泛。

12月10日凌晨,Apache开源我的项目Apache Log4j 2被曝出近程代码执行破绽,其存在JNDI注入破绽,攻击者利用该破绽,通过结构歹意申请在指标服务器上执行任意代码,导致服务器被攻击者管制,从而进行页面篡改、盗取数据等行为,危害性极高,简直所有行业都受到该破绽影响。

【验证等级】
CNVD综合评级为“高危”

【影响范畴】
Java类产品:Apache Log4j 2.x < 2.15.0-rc2

【修复倡议】
目前破绽POC已被公开,官网已公布平安版本,若是应用Java开发语言的零碎须要尽快确认是否应用Apache Log4j 2插件,并尽快降级到最新版本。

工夫点:
2021年12月7日,Apache官网公布log4j-2.15.0-rc1
2021年12月10日,Apache官网公布log4j-2.15.0-rc2
2021年12月11日,Apache官网公布log4j-2.15.0(同log4j-2.15.0-rc2)
2021年12月13日,Apache官网公布log4j-2.16.0-rc1

地址:https://github.com/apache/log...

蚂蚁切面平安RASP应急止血计划

【RASP详细分析】
蚂蚁切面平安RASP人造具备对Log4j破绽的防护能力,因为RASP是在应用程序外部hook要害函数,只关注执行动作,只有部署了RASP的利用可不依赖外界而具备自我爱护能力,即:RASP自身对攻击者执行敏感门路下文件的读取/批改、发外链等动作已具备拦挡能力,攻击者无奈对利用造成太多高危破坏性攻打。

蚂蚁切面平安RASP针对Log4j破绽在高维水平仍做了应急措施,分为3个阶段:
第1阶段:无攻打poc时,基于猜想的计划都未采纳

  1. 从网络相干的注入点动手,通过查看是否蕴含log4j相干的堆栈来进行拦挡。毛病:惯例网络申请都会通过此注入点,需获取堆栈匹配,性能影响十分大。
  2. 从 JNDI 要害底层办法,通过查看是否蕴含log4j相干的堆栈来进行拦挡。毛病:需获取堆栈匹配,影响利用失常应用 JNDI 能力,有肯定性能影响。

第2阶段:拿到poc后,迅速制订和验证止血策略,确定RASP参战
因为JNDI对log4j来说是以插件模式存在,所以有对立的执行入口,由堆栈图可知RASP能够从几处进行拦挡解决,其中“InitialContext.java:417”为原生底层办法,毛病上文曾经提到,所以可用的点为“JndiManager.java:85” 和 “JndiManager.java:61” 。其中注入点“JndiManager.java:85” 为 2.1.x 后引入,注入点 “JndiManager.java:85” 可笼罩 2.x 所有版本,然而为防止通过其余破绽绕过执行,最终两个注入点都进行了拦挡包含获取 jdbc 连贯地址时应用 jndi 的状况也进行了拦挡,因为此种状况是通过 log4j2 配置而非内部输出触发。

毛病:无

长处:

  1. 因为不须要匹配任何参数,无需放心性能问题;
  2. 只有解析后的内容应用了JNDI才会触发,无需放心各种变种payload,无反抗老本;
  3. 只针对log4j2本身应用JNDI的场景,不影响利用失常应用JNDI能力。

第3阶段:RASP部署上线 + 止血策略公布,继续至今
蚂蚁平安团队依据危害水平开始紧急分批进行部署上线和止血策略公布工作。

  • 第一天:被动外联的高危利用灰度预发环境止血实现。
  • 第二天:被动外联的高危利用线上 93%实现止血。

【RASP应急止血成果】

  • 拿到poc后20分钟即实现进攻策略并验证胜利。
  • 2小时内实现log4j 2.x所有版本包含对应sec版兼容性测试。
  • 24小时内实现高危利用预发和灰度环境的止血,并在生产环境小范畴验证。
  • 48小时实现93%高危利用生产环境止血。

【RASP应急止血劣势】
劣势1: 以数据为载体的破绽在业界很少见,导致WAF适用范围无限。攻击者一旦跨过边界在公司技术体系外部横向挪动根本无法管制,因而应用切面平安RASP技术从外部阻断拦挡更精准,成果更好。

劣势2: 相比传统平安产品、官网版本修复形式,RASP具备:

  • 不用等官网计划,只有分明了破绽利用细节,RASP即可开开始发挥作用。
  • 应用切面RASP参战止血,使研发工程师防止了在短时间内以狗急跳墙形式应急,RASP在争取了两周缓冲工夫的同时也不会打乱研发降级节奏,晋升了研发工程师幸福感。
  • RASP适配各种环境,无需思考降级版本兼容问题。

劣势3: 蚂蚁平安团队已输入针对于Log4j破绽的专治小工具 minirasp,给生态搭档和外部一些非标技术栈的利用应急应用。定制的minirasp成果超出预期,在规范RASP不能笼罩的海量数据处理工作job、海量udf中施展了关键作用,能止本次Log4j破绽隔山打牛之痛。

蚂蚁切面平安RASP为利用运行时平安提供疫苗级防护

当下网络安全局势愈发严厉,传统的基于流量检测的边界进攻产品极易被绕过,基于规定库更新的平安产品更是时效性低,此类后知后觉的平安产品已无奈满足平安市场需求。

2012年Gartner首次提出一种新型web防护技术 —— RASP(Runtime Application self-Protection)。区别于传统平安产品,RASP是一种基于行为和上下文语义剖析的新型平安技术,在应用程序外部hook要害函数,只关注执行动作,在不更新策略和不降级利用代码的状况下检测/拦挡未知破绽,RASP像疫苗一样注入进利用实体外部,让利用不依赖外界而具备自我爱护能力。

一句话概括:装载RASP的利用对Log4j2破绽具备人造防护能力,此外,对于所有因JNDI注入导致的近程命令执行、文件目录列出、任意文件上传、敏感文件下载等行为均可实现拦挡。

另外,蚂蚁RASP也反对检测/拦挡内存马攻打、反序列化破绽、命令注入、任意文件上传、近程执行命令等,全笼罩2021版OWASP TOP 10 中的Web应用程序平安危险类别。蚂蚁RASP为企业应用提供函数级实时防护,具备较强的启发式检测能力,秒级拦挡、应急止血,晋升平安水位,尤其适宜大量应用开源组件的互联网利用或应用第三方集成商开发的利用。