知道创宇：从创宇盾感知Apache Log4j2 曝光前后惊魂24小时态势-网络安全专区

知道创宇：从创宇盾感知Apache Log4j2 曝光前后惊魂24小时态势

作者：网络编辑：鸿途 2021-12-10 21:49

　　摘要:Apache Log4j是Java程序中最常使用的开源日志记录组件,目前该组件存在高危漏洞 ,全球黑客正在疯狂利用中...

　　一:漏洞描述

　　Apache Log4j2 是Java程序中最常使用的开源日志记录组件。近日,404积极防御实验室通过创宇安全智脑监测到 Apache Log4j2 远程代码执行高危漏洞被攻击者利用。经专家验证,该漏洞只要外部用户输入的数据如果被日志记录,即可触发导致远程代码执行,成功利用该漏洞的攻击者可以在目标设备上远程执行恶意代码。

　　二:漏洞危害

　　Apache Log4j2 是Java程序中最常使用的开源日志记录组件,市面上绝大多数Java应用都使用了该组件,Log4j2 远程代码执行漏洞利用门槛低无需特殊配置,在短时间内呈井喷式爆发,全球黑客正在疯狂利用中.....

　　可能受影响的应用:

　　Apache Spark、Apache Struts2、Apache Solr、Apache Kafka、Apache Druid、Apache Flink、Logstash、ElasticSearch、Apache Flume、Apache Dubbo等Java应用。

　　漏洞评估:

　　回溯分析:

　　漏洞应急响应后回溯分析发现在11月25日就已有攻击者利用该漏洞进行攻击,该攻击被创宇盾智能引擎拦截,攻击失败。拦截日志如下:

　　图:日志截图

　　从捕获到的数据分析来看,漏洞公布后,国内的攻击首先爆发,云防御平台监测到从12月10日0点开始,漏洞攻击次数直线上升,12月10日0点-16点,国内利用该漏洞进行攻击高达48820次,随后境外的攻击数量也不断增加。

　　图:漏洞公布后攻击趋势图

　　从国内被攻击的区域分布来看,被攻击的业务系统中,北京、云南是被攻击最多的地区。

　　图:国内被攻击区域分布图

　　从国内被攻击的行业分布来看,政府部门、高校、金融行业都是被攻击的重点对象。

　　图:国内被攻击行业分布图

　　创宇安全智脑捕获到的攻击IP TOP10如下:

　　同时知道创宇业务安全舆情监测平台监测到,目前已有包括CloudFlare、Apple、亚马逊等在内的许多世界知名科技公司受到影响:

　　大多数Java应用都使用了Log4j2,通过对该漏洞的利用情况分析,可以看出该漏洞带来的影响非常广泛,且危害极大。截止今日17:00,在知道创宇云监测ScanV MAX监测的范围内,有36%的系统都受到该漏洞影响,经初步验证,这些系统均为Java开发。

　　经知道创宇404积极防御实验室安全专家结合创宇安全智脑的大数据分析研判,由于该漏洞是远程代码执行漏洞,且利用门槛极低,漏洞的爆发后续可能会导致勒索病毒和DDoS攻击增多。

　　三:漏洞时间线

　　2021-11-25 16:15 知道创宇安全智脑捕获到疑似漏洞特征

　　2021-12-05 12:00 官方增加两处commit修复漏洞

　　2021-12-07 07:13 官方发布2.15.0-rc1 版本

　　2021-12-09 20:35 知道创宇404积极防御实验室成功复现漏洞,经测试创宇盾无需升级即可拦截

　　2021-12-09 21:20 发布漏洞风险提示

　　2021-12-09 22:35 上线ScanV Max插件,支持该漏洞检测

　　2021-12-10 02:14 官方紧急发布2.15.0-rc2版本修复rc1版本绕过问题

　　2021-12-10 08:40 CVE颁发漏洞编号:CVE-2021-44228

　　2021-12-10 10:46 CNVD颁发漏洞编号:CNVD-2021-95914

　　四:修复建议

　　1、官方已发布更新,受影响的系统请尽快更新到最新版本

　　(补丁地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2);

　　2、修改Java程序的启动参数:-Dlog4j2.formatMsgNoLookups=true;或修改Log4j2的配置项log4j2.formatMsgNoLookups=true;也可将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true;

　　3、使用新版本11.0+的JDK;老版本JDK建议更新为8u191、7u201或6u211,可以在一定程度上限制JNDI等漏洞利用方式;

　　4、接入知道创宇创宇盾(https://defense.yunaq.com/cyd/),无需升级默认即可拦截;

　　5、接入云监测ScanV MAX(https://www.scanv.com/),已完成更新支持该漏洞检测。

　　五:参考

　　Apache Log4j2 官网:https://logging.apache.org/log4j/2.x/

　　官方漏洞补丁:https://github.com/apache/logging-log4j2/commit/d82b47c6fae9c15fcb183170394d5f1a01ac02d3

　　https://github.com/apache/logging-log4j2/commit/04637dd9102175f765cfad349de0c2a63c279ac3

　　Seebug收录链接:https://www.seebug.org/vuldb/ssvid-99398

　　CNVD-2021-95914:https://www.cnvd.org.cn/flaw/show/CNVD-2021-95914

　　CVE-2021-44228:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

特别提醒：本网信息来自于互联网，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。

关注我们