摘要:Apache Log4j是Java程序中最常使用的开源日志记录组件,目前该组件存在高危漏洞 ,全球黑客正在疯狂利用中...
一:漏洞描述
Apache Log4j2 是Java程序中最常使用的开源日志记录组件。近日,404积极防御实验室通过创宇安全智脑监测到 Apache Log4j2 远程代码执行高危漏洞被攻击者利用。经专家验证,该漏洞只要外部用户输入的数据如果被日志记录,即可触发导致远程代码执行,成功利用该漏洞的攻击者可以在目标设备上远程执行恶意代码。
二:漏洞危害
Apache Log4j2 是Java程序中最常使用的开源日志记录组件,市面上绝大多数Java应用都使用了该组件,Log4j2 远程代码执行漏洞利用门槛低无需特殊配置,在短时间内呈井喷式爆发,全球黑客正在疯狂利用中.....
可能受影响的应用:
Apache Spark、Apache Struts2、Apache Solr、Apache Kafka、Apache Druid、Apache Flink、Logstash、ElasticSearch、Apache Flume、Apache Dubbo等Java应用。
漏洞评估:
回溯分析:
漏洞应急响应后回溯分析发现在11月25日就已有攻击者利用该漏洞进行攻击,该攻击被创宇盾智能引擎拦截,攻击失败。拦截日志如下:
图:日志截图
从捕获到的数据分析来看,漏洞公布后,国内的攻击首先爆发,云防御平台监测到从12月10日0点开始,漏洞攻击次数直线上升,12月10日0点-16点,国内利用该漏洞进行攻击高达48820次,随后境外的攻击数量也不断增加。
图:漏洞公布后攻击趋势图
从国内被攻击的区域分布来看,被攻击的业务系统中,北京、云南是被攻击最多的地区。
图:国内被攻击区域分布图
从国内被攻击的行业分布来看,政府部门、高校、金融行业都是被攻击的重点对象。
图:国内被攻击行业分布图
创宇安全智脑捕获到的攻击IP TOP10如下:
同时知道创宇业务安全舆情监测平台监测到,目前已有包括CloudFlare、Apple、亚马逊等在内的许多世界知名科技公司受到影响:
大多数Java应用都使用了Log4j2,通过对该漏洞的利用情况分析,可以看出该漏洞带来的影响非常广泛,且危害极大。截止今日17:00,在知道创宇云监测ScanV MAX监测的范围内,有36%的系统都受到该漏洞影响,经初步验证,这些系统均为Java开发。
经知道创宇404积极防御实验室安全专家结合创宇安全智脑的大数据分析研判,由于该漏洞是远程代码执行漏洞,且利用门槛极低,漏洞的爆发后续可能会导致勒索病毒和DDoS攻击增多。
三:漏洞时间线
2021-11-25 16:15 知道创宇安全智脑捕获到疑似漏洞特征
2021-12-05 12:00 官方增加两处commit修复漏洞
2021-12-07 07:13 官方发布2.15.0-rc1 版本
2021-12-09 20:35 知道创宇404积极防御实验室成功复现漏洞,经测试创宇盾无需升级即可拦截
2021-12-09 21:20 发布漏洞风险提示
2021-12-09 22:35上线ScanV Max插件,支持该漏洞检测
2021-12-10 02:14 官方紧急发布2.15.0-rc2版本修复rc1版本绕过问题
2021-12-10 08:40 CVE颁发漏洞编号:CVE-2021-44228
2021-12-10 10:46 CNVD颁发漏洞编号:CNVD-2021-95914
四:修复建议
1、官方已发布更新,受影响的系统请尽快更新到最新版本
2、修改Java程序的启动参数:-Dlog4j2.formatMsgNoLookups=true;或修改Log4j2的配置项log4j2.formatMsgNoLookups=true;也可将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true;
3、使用新版本11.0+的JDK;老版本JDK建议更新为8u191、7u201或6u211,可以在一定程度上限制JNDI等漏洞利用方式;
4、接入知道创宇创宇盾,无需升级默认即可拦截;
5、接入云监测ScanV MAX,已完成更新支持该漏洞检测。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )
