昨日爆出的 Log4j 安全漏洞泼返，業(yè)界一片嘩然秫舌，極限實驗室第一時間進行了跟進，對 Elasticsearch 的影響范圍進行了分析矢洲，為大家提供如下應(yīng)對策略璧眠。

【漏洞描述】

Apache Log4j 是一款非常流行的開源的用于 Java 運行環(huán)境的日志記錄工具包，大量的Java 框架都使用了該組件读虏，故影響范圍非常之大责静。

近日, 隨著 Apache Log4j 的遠(yuǎn)程代碼執(zhí)行最新漏洞細(xì)節(jié)被公開，攻擊者可通過構(gòu)造惡意請求利用該漏洞實現(xiàn)在目標(biāo)服務(wù)器上執(zhí)行任意代碼盖桥≡煮Γ可導(dǎo)致服務(wù)器被黑客控制，從而進行頁面篡改揩徊、數(shù)據(jù)竊取腰鬼、挖礦嵌赠、勒索等行為。建議使用該組件的用戶第一時間啟動應(yīng)急響應(yīng)進行修復(fù)熄赡。

簡單總結(jié)一下就是姜挺，在使用 Log4j 打印輸出的日志中，如果發(fā)現(xiàn)日志內(nèi)容中包含關(guān)鍵詞 ${彼硫，那么這個里面包含的內(nèi)容會當(dāng)做變量來進行替換和執(zhí)行炊豪，導(dǎo)致攻擊者可以通過惡意構(gòu)造日志內(nèi)容來讓 Java 進程來執(zhí)行任意命令，達到攻擊的效果拧篮。

【漏洞等級】：非常緊急

此次漏洞是用于 Log4j2 提供的 lookup 功能造成的词渤，該功能允許開發(fā)者通過一些協(xié)議去讀取相應(yīng)環(huán)境中的配置。但在實現(xiàn)的過程中他托，并未對輸入進行嚴(yán)格的判斷掖肋，從而造成漏洞的發(fā)生。

【影響范圍】：Java 類產(chǎn)品：Apache Log4j 2.x < 2.15.0-rc2

可能的受影響應(yīng)用及組件（包括但不限于）如下：

Apache Solr

Apache Flink

Apache Druid

Apache Struts2

srping-boot-strater-log4j2

Elasticsearch

flume

dubbo

Redis

logstash

kafka

更多組件可參考如下鏈接：

https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1

不受影響版本：Apache log4j-2.15.0-rc2

【Elasticsearch 受影響范圍】

Elasticsearch 的影響范圍為全系列版本Ｉ筒巍Ｖ玖！包括最新的未發(fā)布 v8.0 版本把篓。

【攻擊檢測】

1. 可以通過檢查日志中是否存在 “jndi:ldap://”纫溃、“jndi:rmi” 等字符來發(fā)現(xiàn)可能的攻擊行為。

攻擊者在利用前通常采用dnslog方式進行掃描韧掩、探測紊浩，對于常見利用方式可通過應(yīng)用系統(tǒng)報錯日志中的"javax.naming.CommunicationException"、"javax.naming.NamingException: problem generating object using object factory"疗锐、"Error looking up JNDI resource"關(guān)鍵字進行排查坊谁。

2. 攻擊者的數(shù)據(jù)包中可能存在："${jndi:}" 字樣，攻擊代碼舉例如下：

【修復(fù)建議】

目前漏洞 POC 已被公開滑臊，官方已發(fā)布安全版本口芍，建議使用 Java 開發(fā)語言的系統(tǒng)盡快確認(rèn)是否使用 Apache Log4j 2 插件。禁止使用 log4j 服務(wù)器外連雇卷，升級 JDK 11.0.1 8u191 7u201 6u211 或更高版本鬓椭。

請盡快升級 Apache Log4j2 所有相關(guān)應(yīng)用到最新的 log4j-2.15.0-rc2 版本，地址: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

截止發(fā)稿為止還沒有 2.15.0 正式版 jar 包可以下載关划，需要自己下載源文件來進行編譯小染。

【Elasticsearch 漏洞復(fù)現(xiàn)】

在 Elasticsearch 里面通過構(gòu)造特定查詢，輸出帶攻擊指令的日志贮折，比如執(zhí)行如下指令：

可以看到 Elasticsearch 的日志里面成功輸出了我們的攻擊日志？泗妗！脱货！

關(guān)于進一步的漏洞利用岛都，暫未展開律姨，不建議生產(chǎn)環(huán)境上進行測試振峻。

【緊急補救措施-1】

（1） 修改 JVM 參數(shù) -Dlog4j2.formatMsgNoLookups=true

（2） 修改配置 log4j2.formatMsgNoLookups=True

（3） 將系統(tǒng)環(huán)境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設(shè)置為 true

（4） 重啟 Elasticsearch 節(jié)點

【緊急補救措施-2】

（1）將 Elasticsearch lib 目錄下對應(yīng)的log4j jar 包更新至最新的 2.15 版本臼疫。

(2) 重啟 Elasticsearch 節(jié)點

【緊急補救措施-3】

如果 Elasticsearch 不能升級或者替換 Log4j 的 jar 包，可以使用極限網(wǎng)關(guān)扣孟、Nginx 等其他 API 網(wǎng)關(guān)來進行攔截或者參數(shù)替換甚至是直接阻斷請求烫堤。通過在網(wǎng)關(guān)層對發(fā)往 Elasticsearch 的請求統(tǒng)一進行參數(shù)檢測，將包含的敏感關(guān)鍵詞 ${ 進行替換或者直接拒絕凤价，可以防止帶攻擊的請求到達 Elasticsearch 服務(wù)端而被 Log4j 打印相關(guān)日志的時候執(zhí)行惡意攻擊命令鸽斟，從而避免被攻擊。

下面以極限實驗室的數(shù)據(jù)網(wǎng)關(guān)產(chǎn)品：極限網(wǎng)關(guān)的使用為例來為大家介紹如何快速進行該漏洞的處置：

使用 context_filter 來進行關(guān)鍵字檢測利诺，過濾掉惡意流量富蓄，從而阻斷攻擊，過濾器文檔地址：

https://極限網(wǎng)關(guān).com/docs/references/filters/context_filter/

上面的示例只判斷了path慢逾，其他如body類似立倍，通過攔截關(guān)鍵字，可以將流量路由到額外的分支侣滩，還可以是記錄告警或者直接拒絕口注。

重新測試前面的攻擊語句，得到效果如下：

完美阻斷君珠！

關(guān)于極限網(wǎng)關(guān)的基礎(chǔ)安裝和配置寝志，這里不詳細(xì)展開，大家可以前往網(wǎng)關(guān)的網(wǎng)站查看：

https://極限網(wǎng)關(guān).com

安全無小事策添，大家盡快處理吧材部！