apache log4j是一个基于java的日志记录工具,log4j 2是log4j的升级产品。该组件存在java jndi注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
漏洞描述
apache log4j是一个基于java的日志记录工具,log4j 2是log4j的升级产品。该组件存在java jndi注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
apache struts2、apache solr、apache druid、apache flink等众多组件与大型应用均受影响。官方已经发布该产品的最新版本,建议用户尽快升级组件,修复缓解该漏洞。
危害等级
严重
影响版本
apache log4j 2.x <= 2.14.1
修复建议
目前漏洞poc已被公开,官方已发布安全版本,建议使用该组件的用户尽快采取安全措施。
1、建议受影响用户尽快升级到安全版本
升级apache log4j-2 至2.15.0-rc2 版,可以参考以下链接:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2、建议对 apache struts2/apache solr/apache flink/apache druid 等已知受影响的应用及组件进行升级;
3、临时性缓解措施(任选一种)
-
在jvm参数中添加 -dlog4j2.formatmsgnolookups=true
-
系统环境变量中将format_messages_pattern_disable_lookups设置为true
-
创建“log4j2.component.properties”文件,文件中增加配置“log4j2.formatmsgnolookups=true”
4、攻击者在攻击过程中可能使用 dnslog 进行漏洞探测,建议查看是否有相关dnslog告警(对应科来tsa规则:“信息泄露-通过外部平台回显数据”);
5、回溯流量或日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符。
紧急提醒
目前该漏洞呈现大规模爆发的态势,科来技术工程师从昨天开始已经在多个甲方单位发现了多起针对本次漏洞的攻击行为,并通过科来全流量回溯分析能力完整复现了攻击过程、溯源攻击ip,并固定证据,及时协助客户对攻击行为的影响面进行了深入排查,解决了隐患。请科来客户及时更新规则库或者联系科来,我们竭诚为了您的信息安全服务。
通过科来全流量产品(版本号7.x)回查方法
step1:全流量狩猎->调查中心->全流量回溯
step2:然后新建回查任务,选择http日志,将如下特征复制到脚本框:
req_full_url:”${jndi:ldap” || req_full_url:”${jndi:ldaps” || req_full_url:”${jndi:rmi” || req_full_url:”${jndi:iiop” || req_full_url:”${jndi:iiopname” || req_full_url:”${jndi:corbaname” || req_full_url:”${jndi:dns” || req_full_url:”${jndi:nis” || || req_payload:”${jndi:ldap” || req_payload:”${jndi:ldaps” || req_payload:”${jndi:rmi” || req_payload:”${jndi:iiop” || req_payload:”${jndi:iiopname” || req_payload:”${jndi:corbaname” || req_payload:”${jndi:dns” || req_payload:”${jndi:nis”
以上特征码内容为一行,请整体拷贝
step3:再选择生效范围,提交即可查询
查询结果如下:
通过科来全流量产品(版本号5.x)回查方法
step1:打开控制台进行特征回查
step2:回查内容(下面数据按或关系新增)
jndi:ldap
jndi:ldaps
jndi:rmi
jndi:iiop
jndi:iiopname
jndi:corbaname
jndi:dns
jndi:nis
step3:新增完成后,选择时间,因为特征值回查速度比较慢,建议回查时间最多选择12小时
step4:检测规则新增
打开控制台软件的配置管理,选择特征值告警,新增如下特征检测:
jndi:ldap
jndi:ldaps
jndi:rmi
jndi:iiop
jndi:iiopname
jndi:corbaname
jndi:dns
jndi:nis
新增后选择启用即可生效
识别与处理
科来网络全流量安全分析系统(tsa)通过对网络流量的协议识别及解码,有效识别出所有网络访问通信,并可以通过域名、ip、流特征等方式对网络流量进行有针对性的阻断。tsa的网络全流量分析技术,还可以帮助您进行有效的数据复盘,定位问题根源,帮您了解到底发生了什么,提供增强防御体系的机会。
网络流量不会说谎,通过对网络全流量的回溯及分析,可以让我们能够了解网络上的全部行为,并通过特征匹配技术实现对各类已知威胁的检测,另一方面还可以通过行为分析对未知威胁进行检测。
网络全流量数据,包括原始数据包、统计数据、网络会话、警报等信息,通过将数据流重组实现对内容的还原。价值在于,知其然,更知其所以然。对于鉴别网络攻击是否成功、告警是否属于误报、未知威胁的发现、攻击过程的还原,以及受害面分析等都需要全量数据来做支撑。
科来通过基于“基因”级分析的深度,利用科来各类网络元数据字段对异常行为进行准确描述,从而发现未知威胁的蛛丝马迹。同时,科来凭借着多年异常流量样本和大量安全分析实战案例的积累,形成了独特的威胁情报体系,通过积累的黑ip、黑域名和黑md5值等“机读情报”实现失陷主机的检测和威胁排序,安全分析人员也能阅读事件的上下文信息、背景信息和分析结果等“人读情报”,实施具体威胁处置。
科来可以为您提供全面而深入的网络安全分析服务,帮助您发现、定位问题,可视化了解安全问题发生的全过程,并进行安全取证,资产损失评估。
如您需要服务,可以联系400 6869 069,或通过下方微信联系10bet十博欢迎您。
– end –