前言
事件回顧:2021年最重量級的漏洞在12月9日引爆卫旱,12月10日凌晨很多程序員和乙方人員都被迫開始應(yīng)急響應(yīng)。
log4j這個組件在java領(lǐng)域被廣泛使用芥丧,該漏洞非常容易利用磷脯,可以執(zhí)行任意代碼。這個漏洞的影響可謂是重量級的霞幅。
這種開源組件的重大漏洞很難避免漠吻,漏洞出現(xiàn)的時候也很尷尬,就好比你全副武裝上場司恳,一回頭發(fā)現(xiàn)褲衩上漏洞最大途乃。
漏洞爆出后各種網(wǎng)圖就開始瘋傳,基本上你能叫得出名字的公司都存在漏洞扔傅。耍共。。
漏洞利用
最初使用dnslog服務(wù)器來檢測是否存在漏洞猎塞,因為檢測流量太大试读,F(xiàn)OFA和DNSLog網(wǎng)站一度崩潰。
漏洞利用非常簡單荠耽,可以執(zhí)行任意代碼钩骇。下面的demo彈出計算器,在Windows11上進行铝量。
使用maven管理包的可以檢查依賴倘屹,看看是不是有問題的版本
無漏洞版本
官方先是針對漏洞發(fā)布了rc1
的修復(fù)版本,但是該版本依舊有漏洞慢叨,rc2
版本才是沒有漏洞的纽匙。下載連接如下
下面這個是網(wǎng)圖,直接證實了rc1
版本仍然存在繞過的風(fēng)險插爹,我沒有自己實驗進行驗證哄辣,但是根據(jù)后續(xù)發(fā)布的情況來看请梢,這個情況確實屬實。
防護
1力穗、檢查代碼毅弧,及時升級到安全的版本,本次漏洞還涉及眾多Apache開源項目当窗,這部分也應(yīng)該及時更新够坐。
2、惡意流量中可能存在jndi:ladp://
jdni:rmi
崖面,IDPS和WAF可以編寫相應(yīng)規(guī)則元咙,但是對于HTTPS協(xié)議不能很好防護;針對網(wǎng)上流傳的漏洞利用文件編寫snort規(guī)則巫员。
3庶香、威脅情報服務(wù),定位知名的公共DNSLog網(wǎng)站简识,直接封禁赶掖,對于使用開源代碼搭建的Dnslog服務(wù)器進行服務(wù)識別。知名DNSLog網(wǎng)站如下:
ceye.io
dnslog.link
dnslog.cn
dnslog.io
tu4.org
burpcollaborator.net
s0x.cn
3七扰、添加jvm啟動參數(shù)-Dlog4j2.formatMsgNoLookups=true
4奢赂、修改配置文件log4j2.formatMsgNoLookups=True
5、修改環(huán)境變量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設(shè)置為true
6颈走、關(guān)閉應(yīng)用對外的網(wǎng)絡(luò)連接
更新
2021年12月12日
在本次漏洞的響應(yīng)上奇安信可以說做的不錯(聲明一下我不是虎廠的膳灶,這不是廣告),截止2021年12月12日立由,奇安信威脅情報中心對此漏洞更新了四次轧钓,應(yīng)該是乙方公眾號中更新最頻繁的,其他廠商可能就只更新了一次全產(chǎn)品防護指南就沒有在更新了锐膜。此次漏洞相關(guān)的Bypass手段還在不斷更新聋迎,各家公司僅在上周五發(fā)布的應(yīng)急版本是否有效還是個未知數(shù)。
奇安信還創(chuàng)建了一個共享IOC枣耀,Snort檢測規(guī)則的Github項目,可以共享情報庭再。這一點感覺也非常好捞奕,其實本次漏洞本就十分嚴重,亟需國內(nèi)的安全廠商和甲方安全部門一起應(yīng)對拄轻,這時候不再是互相比拼檢測率的時候颅围,打破友商隔閡,做到一定程度的信息共享恨搓,才能給好的應(yīng)對此次危機院促。
下面是幾個共享log4j
漏洞相關(guān)IOC的項目筏养。可以及時補充到安全設(shè)備黑名單中常拓,提高檢出率渐溶,提升防護能力。
https://github.com/RedDrip7/Log4Shell_CVE-2021-44228_related_attacks_IOCs
https://github.com/Sh0ckFR/log4j-CVE-2021-44228-Public-IoCs
https://raw.githubusercontent.com/CriticalPathSecurity/Public-Intelligence-Feeds/master/log4j.txt # IOCS
https://www.tutorialjinni.com/log4shell-yara-ioc.html # yara規(guī)則
https://github.com/Neo23x0/signature-base/blob/master/yara/expl_log4j_cve_2021_44228.yar # yara規(guī)則