Top
首页 > 正文

Apache Log4j高危漏洞来袭 启明星辰提供解决方案~

Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。经确认Apache Log4j2 存在远程代码执行漏洞攻击代码。该漏洞利用无需特殊配置,入侵者可直接构造恶意请求,触发远程代码执行漏洞。经多方验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
发布时间:2021-12-10 16:35 来源:科技狗 作者:科技狗

Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。经确认Apache Log4j2 存在远程代码执行漏洞攻击代码。该漏洞利用无需特殊配置,入侵者可直接构造恶意请求,触发远程代码执行漏洞。经多方验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

【漏洞详情】

12月9日,启明星辰安全应急响应中心监测到网上披露Apache Log4j2 存在远程代码执行漏洞,该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。

【影响版本】

受影响的版本:ApacheLog4j 2.x <= 2.14.1

【修复建议】

1. 升级版本

目前官方已经修复该漏洞,建议受影响产品尽快升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc2 版本:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2。

2. 临时方案

▸建议JDK使用6u211、7u201、8u191、11.0.1及以上的版本;

▸添加jvm启动参数:-Dlog4j2.formatMsgNoLookups=true;

▸添加log4j2.component.properties配置文件,增加如下内容为:

log4j2.formatMsgNoLookups=true;

▸系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true;

▸禁止安装log4j的服务器访问外网,并在边界对dnslog相关域名访问进行检测。

▸凡检测到包含“${jndi:ldap:”的关键字,直接阻断访问流量

▸使用如下官方临时补丁进行修复https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

▸在攻击过程中可能使用 DNSLog 进行漏洞探测,建议可以通过流量监测设备监控是否有相关 DNSLog 域名的请求。

3. 人工排查

相关用户可根据Java jar解压后是否存在org/apache/logging/log4j相关路径结构,判断是否使用了存在漏洞的组件,若存在相关Java程序包,则很可能存在该漏洞。

若程序使用Maven打包,查看项目的pom.xml文件中是否存在下图所示的相关字段,若版本号为小于2.15.0,则存在该漏洞。

若程序使用gradle打包,可查看build.gradle编译配置文件,若在dependencies部分存在org.apache.logging.log4j相关字段,且版本号为小于2.15.0,则存在该漏洞。

【启明星辰检测与防护类产品解决方案】

1. 天清入侵防御系统

天清入侵防御系统已经发布紧急特征库升级包,可在线升级或离线升级,即可对此攻击进行检测和防护。

图片1.jpg

2. 天清Web应用安全网关

天清Web应用安全网关已经发布紧急特征库升级包,可在线升级或离线升级,即可对此攻击进行检测和防护。

图片2.jpg

3. 天阗入侵检测与管理系系统

天阗入侵检测与管理系统已经发布紧急特征库升级包,可在线升级或离线升级,即可对此攻击进行检测。

图片3.jpg

4. 天阗超融合检测探针

天阗超融合检测探针已经发布紧急特征库升级包,可在线升级或离线升级,即可对此攻击进行检测。

图片4.jpg

5. 天阗威胁分析一体机

天阗威胁分析一体机已经发布紧急特征库升级包,可在线升级或离线升级,即可对此攻击进行检测。

图片5.jpg

6. 天阗高级持续性威胁检测与管理系统

天阗高级持续性威胁检测与管理系统已经发布紧急特征库升级包,可在线升级或离线升级,即可对此攻击进行检测。

图片6.jpg

启明星辰集团WAF、IPS、TAR、CSP、IDS、CS、APT产品特征库官网更新完毕,网关和安管不受此漏洞影响。复制链接(https://venustech.download.venuscloud.cn/),即可进入统一升级中心,下载所需升级包。

合作站点
stat
Baidu
map