安全圈大事–log4j漏洞

logo.png

前言

事件回顧:2021年最重量級的漏洞在12月9日引爆卫旱,12月10日凌晨很多程序員和乙方人員都被迫開始應(yīng)急響應(yīng)。

程序員表情包.jpg

log4j這個組件在java領(lǐng)域被廣泛使用芥丧,該漏洞非常容易利用磷脯,可以執(zhí)行任意代碼。這個漏洞的影響可謂是重量級的霞幅。

這種開源組件的重大漏洞很難避免漠吻,漏洞出現(xiàn)的時候也很尷尬,就好比你全副武裝上場司恳,一回頭發(fā)現(xiàn)褲衩上漏洞最大途乃。

11.png

漏洞爆出后各種網(wǎng)圖就開始瘋傳,基本上你能叫得出名字的公司都存在漏洞扔傅。耍共。。

baidu.jpg

icloud.jpg

漏洞利用

最初使用dnslog服務(wù)器來檢測是否存在漏洞猎塞,因為檢測流量太大试读,F(xiàn)OFA和DNSLog網(wǎng)站一度崩潰。

漏洞利用非常簡單荠耽,可以執(zhí)行任意代碼钩骇。下面的demo彈出計算器,在Windows11上進行铝量。

01.png

02.png

使用maven管理包的可以檢查依賴倘屹,看看是不是有問題的版本

03.png

無漏洞版本

官方先是針對漏洞發(fā)布了rc1的修復(fù)版本,但是該版本依舊有漏洞慢叨,rc2版本才是沒有漏洞的纽匙。下載連接如下

log4j-2.15.0-rc2

下面這個是網(wǎng)圖,直接證實了rc1版本仍然存在繞過的風(fēng)險插爹,我沒有自己實驗進行驗證哄辣,但是根據(jù)后續(xù)發(fā)布的情況來看请梢,這個情況確實屬實。

rc1.png

防護

1力穗、檢查代碼毅弧,及時升級到安全的版本,本次漏洞還涉及眾多Apache開源項目当窗,這部分也應(yīng)該及時更新够坐。

2、惡意流量中可能存在jndi:ladp:// jdni:rmi崖面,IDPS和WAF可以編寫相應(yīng)規(guī)則元咙,但是對于HTTPS協(xié)議不能很好防護;針對網(wǎng)上流傳的漏洞利用文件編寫snort規(guī)則巫员。

3庶香、威脅情報服務(wù),定位知名的公共DNSLog網(wǎng)站简识,直接封禁赶掖,對于使用開源代碼搭建的Dnslog服務(wù)器進行服務(wù)識別。知名DNSLog網(wǎng)站如下:

ceye.io
dnslog.link
dnslog.cn
dnslog.io
tu4.org
burpcollaborator.net
s0x.cn

3七扰、添加jvm啟動參數(shù)-Dlog4j2.formatMsgNoLookups=true

4奢赂、修改配置文件log4j2.formatMsgNoLookups=True

5、修改環(huán)境變量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設(shè)置為true

6颈走、關(guān)閉應(yīng)用對外的網(wǎng)絡(luò)連接

更新

2021年12月12日

在本次漏洞的響應(yīng)上奇安信可以說做的不錯(聲明一下我不是虎廠的膳灶,這不是廣告),截止2021年12月12日立由,奇安信威脅情報中心對此漏洞更新了四次轧钓,應(yīng)該是乙方公眾號中更新最頻繁的,其他廠商可能就只更新了一次全產(chǎn)品防護指南就沒有在更新了锐膜。此次漏洞相關(guān)的Bypass手段還在不斷更新聋迎,各家公司僅在上周五發(fā)布的應(yīng)急版本是否有效還是個未知數(shù)。

奇安信還創(chuàng)建了一個共享IOC枣耀,Snort檢測規(guī)則的Github項目,可以共享情報庭再。這一點感覺也非常好捞奕,其實本次漏洞本就十分嚴重,亟需國內(nèi)的安全廠商和甲方安全部門一起應(yīng)對拄轻,這時候不再是互相比拼檢測率的時候颅围,打破友商隔閡,做到一定程度的信息共享恨搓,才能給好的應(yīng)對此次危機院促。

下面是幾個共享log4j漏洞相關(guān)IOC的項目筏养。可以及時補充到安全設(shè)備黑名單中常拓,提高檢出率渐溶,提升防護能力。

https://github.com/RedDrip7/Log4Shell_CVE-2021-44228_related_attacks_IOCs
https://github.com/Sh0ckFR/log4j-CVE-2021-44228-Public-IoCs
https://raw.githubusercontent.com/CriticalPathSecurity/Public-Intelligence-Feeds/master/log4j.txt # IOCS
https://www.tutorialjinni.com/log4shell-yara-ioc.html # yara規(guī)則
https://github.com/Neo23x0/signature-base/blob/master/yara/expl_log4j_cve_2021_44228.yar # yara規(guī)則

各位看官老爺都看到這了就不能點個贊再走嗎弄抬?

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末茎辐,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子掂恕,更是在濱河造成了極大的恐慌拖陆,老刑警劉巖,帶你破解...
    沈念sama閱讀 211,817評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件懊亡,死亡現(xiàn)場離奇詭異依啰,居然都是意外死亡,警方通過查閱死者的電腦和手機店枣,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,329評論 3 385
  • 文/潘曉璐 我一進店門速警,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人艰争,你說我怎么就攤上這事坏瞄。” “怎么了甩卓?”我有些...
    開封第一講書人閱讀 157,354評論 0 348
  • 文/不壞的土叔 我叫張陵鸠匀,是天一觀的道長。 經(jīng)常有香客問我逾柿,道長缀棍,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 56,498評論 1 284
  • 正文 為了忘掉前任机错,我火速辦了婚禮爬范,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘弱匪。我一直安慰自己青瀑,他們只是感情好,可當我...
    茶點故事閱讀 65,600評論 6 386
  • 文/花漫 我一把揭開白布萧诫。 她就那樣靜靜地躺著斥难,像睡著了一般。 火紅的嫁衣襯著肌膚如雪帘饶。 梳的紋絲不亂的頭發(fā)上哑诊,一...
    開封第一講書人閱讀 49,829評論 1 290
  • 那天,我揣著相機與錄音及刻,去河邊找鬼镀裤。 笑死竞阐,一個胖子當著我的面吹牛,可吹牛的內(nèi)容都是我干的暑劝。 我是一名探鬼主播骆莹,決...
    沈念sama閱讀 38,979評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼铃岔!你這毒婦竟也來了汪疮?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 37,722評論 0 266
  • 序言:老撾萬榮一對情侶失蹤毁习,失蹤者是張志新(化名)和其女友劉穎智嚷,沒想到半個月后,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體纺且,經(jīng)...
    沈念sama閱讀 44,189評論 1 303
  • 正文 獨居荒郊野嶺守林人離奇死亡涉兽,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,519評論 2 327
  • 正文 我和宋清朗相戀三年较木,在試婚紗的時候發(fā)現(xiàn)自己被綠了社露。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片讯泣。...
    茶點故事閱讀 38,654評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖嫁艇,靈堂內(nèi)的尸體忽然破棺而出朗伶,到底是詐尸還是另有隱情,我是刑警寧澤步咪,帶...
    沈念sama閱讀 34,329評論 4 330
  • 正文 年R本政府宣布论皆,位于F島的核電站,受9級特大地震影響猾漫,放射性物質(zhì)發(fā)生泄漏点晴。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 39,940評論 3 313
  • 文/蒙蒙 一悯周、第九天 我趴在偏房一處隱蔽的房頂上張望粒督。 院中可真熱鬧,春花似錦禽翼、人聲如沸屠橄。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,762評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽仇矾。三九已至,卻和暖如春解总,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背姐仅。 一陣腳步聲響...
    開封第一講書人閱讀 31,993評論 1 266
  • 我被黑心中介騙來泰國打工花枫, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留刻盐,地道東北人。 一個月前我還...
    沈念sama閱讀 46,382評論 2 360
  • 正文 我出身青樓劳翰,卻偏偏與公主長得像敦锌,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子佳簸,可洞房花燭夜當晚...
    茶點故事閱讀 43,543評論 2 349

推薦閱讀更多精彩內(nèi)容