【更新】Apache Log4j 2远程代码执行漏洞的排查与处置建议
01漏洞描述
Apache Log4j是一个基于Java的日志记录工具。Log4j是几种Java日志框架之一。该项目在Apache接手后进行了代码重构,解决了框架中的架构问题并在Log4j 2中提供了一个插件架构,这使其更具扩展性。用户可以更为精确的对日志进行细粒度的控制,支持将日志信息发送到服务器、写入到文件或是发送给GUI组件等,通过定义日志信息的级别、输出格式,发送参数来对日志进行更完善的管理。
通过安天的智甲、探海、捕风、拓痕等产品,可以实现对此漏洞的有效响应。
Apache Log4j 2.x < 2.15.0-rc2
根据 mvnrepository 中的软件库依赖关系,含有该漏洞的Log4j 2影响到超过 6000个中间件或应用,目前已知的可能受影响的应用及组件包括但不限于如下清单中所列出的:
Spring-Boot-strater-log4j2
Apache Struts2
Apache Solr
Apache Flink
Apache Druid
ElasticSearch
Flume
Dubbo
Redis
Logstash
Kafka
03排查方法、缓解措施
安天CERT建议用户彻底排查所使用的应用是否引入了Apache Log4j2 Jar包,特别是各单位在历史招标建设中明确要求采用 Log4j 或 SLF4J 记录日志的信息系统,若存在引入则可能受该漏洞影响。排查方法如下:
(1)针对应用自身排查
在应用内部搜索log4j-core-*.jar以及log4j-api-*.jar两个关键字,查看其版本是否在受影响的版本范围中,同时查看其pom.xml文件内部的版本号进行二次确认。也可以通过查看内部JAVA源代码库中所引入的组件清单列表来确认是否引入了Apache Log4j 2.x的Jar包。
1 find / -name "log4j*" |
(2)入侵排查
攻击者在利用前通常采用dnslog方式进行扫描、探测,针对该漏洞利用可通过应用系统报错日志中的如下关键字进行排查:
1 "javax.naming.CommunicationException"2 "javax.naming.NamingException: problem generating object using object factory" |
攻击者发送的恶意数据包中可能存在“${jndi:rmi”、“${jndi:ldap”关键字,推荐使用全流量或WAF设备进行检索排查。
检测:
在WAF中添加如下两条自定义规则:
tcp_payload^%24%7Bjndi%3Aldap%3A%2F%2F
http_msgbody^%24%7Bjndi%3Aldap%3A%2F%2F
建议升级Apache Log4j 2至2.16.0版本修复此漏洞,下载地址:
https://logging.apache.org/log4j/2.x/download.html
临时缓解措施(任选一种):
修改jvm启动参数 -Dlog4j2.formatMsgNoLookups=true
修改配置log4j2.formatMsgNoLookups=True
设置系统环境变量 LOG4J_log4j2_formatMsgNoLookups为 true
临时缓解措施自动化处置脚本:
Windows 操作系统:使用管理员权限运行 log4j2_hjcs.bat 后重启操作系统
Windows 处置脚本下载地址:
https://www.antiy.com/tools/Log4j2_hjcs.bat
鉴于本次漏洞影响十分广泛且危害较大,安天CERT给出下列建议:
1. 安天智甲(云主机安全系统)
(1)定位影响资产
用户可通过资产中心模块快速识别Apache Log4j <= 2.14.1的风险资产信息,用于快速排查受此次log4j2漏洞事件影响的资产。
(2)漏洞检测
智甲云主机安全系统发布漏洞库更新包20211210023816,支持对Apache Log4j2远程代码执行漏洞(CNVD-2021-95914)检测,请用户联系技术支持人员获取规则升级包对漏洞库版本进行升级。
对于无法及时更新漏洞库的用户,可自定义添加规则实现漏洞的快速检测。
(3)安全基线检查
最新版智甲云主机安全系统v1.0版的配置风险功能,已经可以通过资产配置核查的功能识别此漏洞风险。
(4)微隔离加固
智甲云主机安全系统微隔离模块能够识别网内东西向流量,通过严格的进程级网络访问策略,能够检测出异常的网络访问行为。
“探海”产品已可针对log4j 2漏洞利用事件进行检出。已包含相关检测规则的网络威胁行为规则库版本为:basic_rules_1.00.9_20211020100532(请确认设备系统版本为:6.6.1.2 以上,旧版本建议先升级到最新版本)。
安天探海在公网中已检测到的该漏洞的利用:
若未加入此计划,建议立即联系安天售后服务热线,以获取规则更新包。我们也将在下一次常规更新中提供对应规则。安天售后服务热线:400-840-9234
在用户获取更新之前,可以通过如下自定义规则进行威胁检测。配置路径为:策略——>自定义规则 ——> 新增规则 ——> 自定义表达式
针对版本 | 自定义表达式规则 |
6.6.1.0 - 6.6.1.1 | `/url`~"jndi:(ldap|ldaps|rmi|iiop|iiopname|corbaname|dns|nis)" |
6.6.1.2及之后 | `/url`~"jndi:(ldap|ldaps|rmi|iiop|iiopname|corbaname|dns|nis)",`/http/response/body`~"jndi:(ldap|ldaps|rmi|iiop|iiopname|corbaname|dns|nis)" |
若用户已从其他途径获取更多威胁情报,可通过设备的“自定义规则”(针对IP、域名、URL等),“流量检测规则”——“自定义规则“(针对SNORT规则)进行威胁情报应用。若网内发现了威胁的相关线索,可通过“目标审计”功能对可疑主机进行全流量获取分析。
若用户使用的是全要素版本HD2000,建议同时通过如下查询语句,检索历史中是否遭遇过此类攻击事件(规则为单行,请完整拷贝):
`/url`~"jndi:(ldap|ldaps|rmi|iiop|iiopname|corbaname|dns|nis)",`/http/response/body`~"jndi:(ldap|ldaps|rmi|iiop|iiopname|corbaname|dns|nis)" |
3. 安天捕风
“捕风蜜罐”产品已具备针对log4j漏洞仿真及威胁感知能力,如果用户设备版本是V3.3.6.0及以上,可以通过部署Scada·LTS、Apache Tomcat、 Struts2、Elastic Search、Redis这些仿真资产来发现威胁,了解攻击者意图。
如果用户设备版本是V3.3.6.0及以上,同时也部署了具备log4j漏洞仿真的资产,可以重点关注检出特征描述:JNID注入,威胁名称为:漏洞利用,蜜罐服务名称:Scada·LTS、Apache Tomcat、Struts2、Elastic Search、Redis(任意一个时)的威胁事件。蜜罐设备将自动保存相关的pcap以供下载,同时用户可以通过结合捕获到的payload字符串信息进行详细的分析。
4. AntiyRASP(应用威胁自免疫)
应用运行时自我保护,拥有检测、定位、阻断漏洞利用能力。紧急发布新版本:可有效防止 Apache Log4j JNDI 漏洞注入、漏洞绕过及在野利用。用户甚至无需修改现有业务配置,即可快速实现安全防护。
免费获取地址:https://vs.antiy.cn/RASP
5. 安天WAF产品已经完成相应攻击规则特征库更新,可有效防御基于Apache Log4j 2远程代码执行漏洞的WEB攻击行为,已购买安天WAF产品的客户可通过更新WAF攻击规则特征库,有效抵御Apache Log4j 2远程代码执行漏洞带来的网络安全风险。
注:上述产品所有型号及版本自身不受此漏洞影响。
06
安天产品针对Log4j 2漏洞相关攻击的防御价值简介
产品品牌 | 产品定位 | 部署方式 | 针对本漏洞相关攻击的防御价值 |
UES (统一端点防御,覆盖 EPP\EDR\CWPP) | 安装(或原厂预制)在系统主机上。 | 智甲终端防御系统可识别终端资产上安装的应用及插件版本信息,有助于客户排查终端资产是否存在漏洞,同时可通过软件分发功能向存在应用漏洞的资产推送漏洞修复包。 | |
NDR (网络检测响应) | 在政企网出口、关键网段等位置旁路部署,可以作为云资源池部署。 | 探海威胁检测系统可针对网络流量,利用原生机制和第三方威胁情报进行漏洞利用威胁检测。如使用的是全要素留存版本,还可检索历史数据中是否具有此威胁的攻击。在设备已联动态势感知、SIEM等数据平台的情况下,也可使用联动平台对历史全要素日志进行漏洞利用发现分析。 | |
威胁欺骗捕获 | 支持企业内网、隔离网、私有云、公有云等部署场景 | 捕风蜜罐系统支持通过仿真包含log4j 2的高交互服务如Apache Struts2、ElasticSearch、Redis 等模拟欺骗捕获威胁攻击,配置相关仿真资产可以与导流设备结合,有效感知针对该漏洞的扫描探测、具体漏洞攻击,检出漏洞利用事件,提供威胁情报,联动响应和处置,以供应用户及时防御。 | |
应急处置 | 基于U盘、光盘、便携设备与场景连接使用。 | 拓痕基于对终端侧系统进行威胁检测分析,包括进程、服务、内核、引导扇区等对象的全要素的提取解析,调用安天AVL SDK反病毒引擎进行更精准的检测,检出和留存攻击载荷,提取可疑对象。 |