作者：SRE運維博客
博客地址：https://www.cnsre.cn/
文章地址：https://www.cnsre.cn/posts/211213210004/
相關(guān)話題：https://www.cnsre.cn/tags/Log4j/

近日的Log4j2侮叮，可是非常的火啊，我也是加班加點把補丁給打上了次安心淋淀。Apache Log4j2存在遠(yuǎn)程代碼執(zhí)行漏洞侣诵，經(jīng)驗證二鳄，該漏洞允許攻擊者在目標(biāo)服務(wù)器上執(zhí)行任意代碼蛇摸，可導(dǎo)致服務(wù)器被黑客控制。由于Apache Log4j 2應(yīng)用較為廣泛垄琐，建議使用該組件的用戶盡快采取安全措施。

影響范圍

漏洞影響版本：

2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1

漏洞描述

Apache Log4j 2是一個基于Java的日志記錄工具经柴，是對 Log4j 的升級狸窘。近日安恒信息應(yīng)急響應(yīng)中心監(jiān)測到Apache Log4j 2存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可通過構(gòu)造惡意請求利用該漏洞實現(xiàn)在目標(biāo)服務(wù)器上執(zhí)行任意代碼坯认。

漏洞修復(fù)

由于Log4j2 作為日志記錄基礎(chǔ)第三方庫翻擒，被大量Java框架及應(yīng)用使用氓涣，只要用到 Log4j2 進行日志輸出且日志內(nèi)容能被攻擊者部分可控，即可能會受到漏洞攻擊影響陋气。因此劳吠，該漏洞也同時影響全球大量通用應(yīng)用及組件，例如 ：
Apache Struts2巩趁、Apache Solr痒玩、Apache Druid、Apache Flink议慰、Apache Flume蠢古、Apache Dubbo、Apache Kafka别凹、Spring-boot-starter-log4j2草讶、ElasticSearch、Redis番川、Logstash等
建議及時檢查并升級所有使用了 Log4j 組件的系統(tǒng)或應(yīng)用到涂。

緊急： 目前漏洞POC已被公開，官方已發(fā)布安全版本颁督，建議使用該組件的用戶盡快采取安全措施。

臨時性緩解措施：

1浇雹、在 jvm 參數(shù)中添加 -Dlog4j2.formatMsgNoLookups=true
2沉御、系統(tǒng)環(huán)境變量中將LOG4J_FORMAT_MSG_NO_LOOKUPS 設(shè)置為 true
3、創(chuàng)建 log4j2.component.properties 文件昭灵，文件中增加配置 log4j2.formatMsgNoLookups=true
4吠裆、若相關(guān)用戶暫時無法進行升級操作，也可通過禁止Log4j中SocketServer類所啟用的socket端對公網(wǎng)開放來進行防護
5烂完、禁止安裝log4j的服務(wù)器訪問外網(wǎng)试疙，并在邊界對dnslog相關(guān)域名訪問進行檢測。部分公共dnslog平臺如下

ceye.io
dnslog.link
dnslog.cn
dnslog.io
tu4.org
awvsscan119.autoverify.cn
burpcollaborator.net
s0x.cn

徹底修復(fù)漏洞：

建議您在升級前做好數(shù)據(jù)備份工作抠蚣，避免出現(xiàn)意外
研發(fā)代碼修復(fù)：升級到官方提供的 log4j-2.15.0-rc2 版本
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.1-rc1

漏洞檢測工具

檢測工具下載地址 https://pan.cnsre.cn/d/Package/Linux/360log4j2.zip

漏洞檢測

瀏覽器被動式掃描檢測方案

• 原理
  工程師可設(shè)置該代理通過瀏覽器被動掃描目標(biāo)祝旷，查看 DNS Log 檢測是否存在 log4j 漏洞。
• 使用方法
  1.瀏覽器或操作系統(tǒng)配置 HTTP/HTTPS 代理：219.141.219.69:18080

image

2.瀏覽器或操作系統(tǒng)將下列證書添加到信任名單：附件sqli-hunter.pem

3.使用瀏覽器正常進行目標(biāo)瀏覽嘶窄，當(dāng)結(jié)束掃描后怀跛，在http://219.141.219.69:18000/ 下檢查是否存在以目標(biāo)域名為名的 txt 文件，如 http://219.141.219.69/#.txt

image

4.若存在柄冲，則說明目標(biāo)網(wǎng)站存在漏洞吻谋，細(xì)節(jié)如下：

image

可看到完整 HTTP 請求細(xì)節(jié)，params參數(shù)為存在 log4j 注入漏洞的參數(shù)

• 使用限制

1. 主機外網(wǎng) IP 無法訪問 360 IP现横，請不要使用該代理掃描 360
2. 目前只能檢測 POST body 中的參數(shù)
3. 不允許任何惡意攻擊

本地掃描常規(guī)檢測方案

1. 下載本地檢測工具

2. 掃描源碼：./log4j-discoverer --src"源碼目錄"

3. 掃描jar包：./log4j-discoverer--jar "jar包文件"

4. 掃描系統(tǒng)進程：./log4j-discoverer –scan

Log4j漏洞補丁方案

如果檢測到相關(guān)漏洞的應(yīng)用或組件漓拾，建議立即對該應(yīng)用或組件進行打補丁修復(fù)阁最， Log4j補丁方案如下：

• 工具原理

image

Hook前受到log4j jndi注入攻擊

image

執(zhí)行 java -jar PatchLog4j.jar

image

打入補丁后 log4j不再處理JNDI邏輯直接將JNDI字符串輸出

image

工具來源【360政企安服高攻實驗室】

作者：SRE運維博客
博客地址：https://www.cnsre.cn/
文章地址：https://www.cnsre.cn/posts/211213210004/
相關(guān)話題：https://www.cnsre.cn/tags/Log4j/