Apache Log4j2 高危漏洞应急响应处置方法汇总整理

Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

漏洞利用无需特殊配置, 经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0 正式版本。

阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

(图片可点击放大查看)

2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914)

(图片可点击放大查看)

CVE编号:CVE-2021-44228

(图片可点击放大查看)

目前可能的受影响应用组件包括但不限于:Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等

在实际生产环境,虽然很多系统并未使用Java,但后台的服务中大量使用了ElasticSearch、Kafka、Estorm、Logstash等Java实现的开源组件,也会通过前台的输入产生实际影响。因此,实际影响面远超想象

一、漏洞检测工具

1、微步在线提供的免费Log4j2漏洞资产排查工具下载!

(图片可点击放大查看)

https://static.threatbook.cn/tools/log4j-local-check.sh

使用方式如下截图所示

wget https://static.threatbook.cn/tools/log4j-local-check.sh
sh log4j-local-check.sh

(图片可点击放大查看)

2、长亭科技也提供了在线检测工具

https://log4j2-detector.chaitin.cn/

(图片可点击放大查看)

https://chaitin-marketing-public.cn-beijing.oss.aliyuncs.com/log4j.tgz

工具检测使用示例截图

1、共两条命令,先执行第一条命令,不要中断,然后再启动一个终端执行第二条命令

2、注意两条命令需要在同一个目录下执行

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

json格式美化后的结果
{
    "results": [
        {
            "arch": "", 
            "container_id": "", 
            "edition": "", 
            "path": "/usr/share/graylog-server/graylog.jar#META-INF/maven/org.apache.logging.log4j/log4j-core/pom.xml", 
            "product": "log4j-core", 
            "vendor": "org.apache.logging.log4j", 
            "version": "2.13.3"
        }, 
        {
            "arch": "", 
            "container_id": "", 
            "edition": "", 
            "path": "/usr/share/elasticsearch/bin/elasticsearch-sql-cli-7.14.0.jar#META-INF/maven/org.apache.logging.log4j/log4j-core/pom.xml", 
            "product": "log4j-core", 
            "vendor": "org.apache.logging.log4j", 
            "version": "2.11.1"
        }, 
        {
            "arch": "", 
            "container_id": "", 
            "edition": "", 
            "path": "/usr/share/elasticsearch/lib/elasticsearch-7.14.0.jar#META-INF/MANIFEST.MF", 
            "product": "elasticsearch", 
            "vendor": "elastic", 
            "version": "7.14.0"
        }, 
        {
            "arch": "", 
            "container_id": "", 
            "edition": "", 
            "path": "/usr/share/elasticsearch/lib/log4j-core-2.11.1.jar#META-INF/maven/org.apache.logging.log4j/log4j-core/pom.xml", 
            "product": "log4j-core", 
            "vendor": "org.apache.logging.log4j", 
            "version": "2.11.1"
        }
    ]
}

二、Log4j2 漏洞修复建议

临时性缓解措施(任选一种,但是注意,只有 >=2.10.0 版本才可以用,老版本不支持这个选项)

  • 1、在 jvm 参数中添加 -Dlog4j2.formatMsgNoLookups=true
  • 2、系统环境变量中将LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true 据说之前这个 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true方法无效,目前需要更正为 LOG4J_FORMAT_MSG_NO_LOOKUPS设置为true
  • 3、创建 log4j2.component.properties 文件,文件中增加配置 log4j2.formatMsgNoLookups=true 彻底修复漏洞:

方案一、研发代码修复:升级到官方提供的 log4j-2.15.0-rc2 版本

升级Apache Log4j所有相关应用到最新的 Log4j-2.15.0官方稳定版本。下载地址:

https://logging.apache.org/log4j/2.x/download.html

方案二、生产环境修复

https://github.com/zhangyoufu/log4j2-without-jndi 

由长亭工程师提供的删除了 JndiLookup.class 的对应版本直接替换重启即可。(如果不放心网上下载的版本,也可以自己手动解压删除:

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class 

删除jar包里的这个漏洞相关的class,然后重启服务即可)

三、建议的应急处置方法

安全工程师可以参照以下流程排查风险并加固

1、攻击识别

在边界防护设备上增加针对该漏洞攻击拦截策略,例如WAF、FW、IPS等,目前各大安全厂商基本上已经于12月10号已经更新的漏洞特征库或入侵防御特征库

在内网流量或者日志分析设备上增加识别策略

(图片可点击放大查看)

2、主机资产加固

在主机资产的防护系统,例如主机安全产品(例如椒图云锁,EDR等)上增加防护策略 通过扫描器主动扫描网络、主机安全产品盘点和发现资产、综合排查出受影响的资产

可以结合堡垒机批量运维功能,批量下发并执行检测脚本梳理有漏洞的资产

cd /opt;wget https://static.threatbook.cn/tools/log4j-local-check.sh;sh log4j-local-check.sh;

3、限制受影响应用对外访问互联网,并在边界对dnslog相关域名访问进行检测。

部分公共dnslog平台如下:

ceye.io
dnslog.link
dnslog.cn
dnslog.io
tu4.org
burpcollaborator.net
s0x.cn

建议直接在出口防火墙上对这些域名做阻断

附腾讯安全提供的IOC情报域名建议也加入阻断名单

(图片可点击放大查看)

4、后期漏洞整改

对已经梳理出受漏洞影响的资产清单参考上面的漏洞修复建议进行 对于无法加固的系统,实现离线/隔离、加强主机安全监控、增加边界防护策略

附腾讯云镜安全发布的Log4j漏洞处置手册

【腾讯文档】Log4j漏洞处置手册(含持续更新相关IOC)

https://docs.qq.com/doc/DWENFT3ZjY1VnRG11

原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/tech/pnotes/212475.html

(0)
上一篇 2021年12月16日 11:27
下一篇 2021年12月16日 11:27

相关推荐

发表回复

登录后才能评论