母子乱伦:和儿子做了,我该怎么办?

老同志是党的中流砥柱、定海神针

他刚刚逃离了俄罗斯征兵:“我身边的俄罗斯人就像被僵尸咬过”

劝退了!!!

H游戏只知道《尾行》?弱爆了!丨BB IN

生成图片,分享到微信朋友圈

自由微信安卓APP发布,立即下载! | 提交文章网址
查看原文

Apache Log4j任意代码执行漏洞安全风险通告第三次更新

代码卫士 2022-05-23

The following article is from 奇安信威胁情报中心 Author 奇安信CERT

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到Apache Log4j存在任意代码执行漏洞。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

经奇安信CERT验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响,鉴于此漏洞危害巨大,利用门槛极低,奇安信CERT建议用户尽快参考缓解方案阻止漏洞攻击。


本次更新内容:

修改漏洞描述。

新增发现在野利用、POC/EXP公开状态、技术细节公开状态。




当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

已公开

已公开

已公开

已发现



漏洞描述

Apache Log4j是Apache的一个开源项目,Apache log4j2是Log4j的升级版本,我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。


近日,奇安信CERT监测到Apache Log4j存在任意代码执行漏洞,经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。


经奇安信CERT验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响,鉴于此漏洞危害巨大,利用门槛极低,奇安信CERT建议用户尽快参考缓解方案阻止漏洞攻击。


Apache Log4j 任意代码执行漏洞

漏洞名称

Apache Log4j 任意代码执行漏洞

漏洞类型

代码执行

风险等级

紧急

漏洞ID

暂无

公开状态

已发现

在野利用

已发现

漏洞描述

Apache Log4j 是 Apache 的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程。经过分析,Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

参考链接

https://github.com/apache/logging-log4j2


奇安信 CERT 第一时间分析并复现了该漏洞,复现截图如下:



风险等级

奇安信 CERT风险评级为:紧急
风险等级:黄色(重要事件)


影响范围

Apache Log4j 2.x < 2.15.0-rc2



处置建议

1. 漏洞排查

排查应用是否引入了Apache Log4j2 Jar包,若存在依赖引入,则可能存在漏洞影响。

•    相关用户可根据Java JAR解压后是否存在org/apache/logging/log4j相关路径结构,判断是否使用了存在漏洞的组件,若存在相关Java程序包,则极可能存在该漏洞。

•    若程序使用Maven打包,查看项目的pom.xml文件中是否存在如下图所示的相关字段,若版本号为小于2.15.0-rc2,则存在该漏洞。

•    若程序使用gradle打包,查看build.gradle编译配置文件,若在dependencies部分存在org.apache.logging.log4j相关字段,且版本号为小于2.15.0-rc2,则存在该漏洞。


2. 攻击排查

•    日志排查攻击者在利用前通常采用dnslog方式进行扫描、探测,对于常见利用方式可通过应用系统报错日志中的

"javax.naming.CommunicationException"、

"javax.naming.NamingException: problem generating object using object factory"、

"Error looking up JNDI resource"关键字进行排查。

•    流量排查攻击者的数据包中可能存在:“${jndi:rmi”、“${jndi:ldap”字样,推荐使用奇安信网神网站应用安全云防护系统全流量或WAF设备进行检索排查。


3. 修复建议

•    升级到最新版本

请联系厂商获取修复后的官方版本:https://github.com/apache/logging-log4j2 ;

请尽快升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2或采用奇安信产品解决方案来防护此漏洞。

•    缓解措施

    1) 添加jvm启动参数 -Dlog4j2.formatMsgNoLookups=true    

    2) 在应用程序的classpath下添加log4j2.component.properties配置文件文件,文件内容:log4j2.formatMsgNoLookups=True

    3) 设置系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true

    4) 建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本

    5) 限制受影响应用对外访问互联网



产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对Log4j任意代码执行漏洞的防护。


奇安信网神智慧防火墙产品防护方案

奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2112092130” 及以上版本并启用规则ID: 4347001进行检测。


奇安信开源卫士已更新

奇安信开源卫士20211209.907版本已支持对Log4j 任意代码执行漏洞的检测。


奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本将于12月10日发布入侵防御规则库2021.12.10版本,支持对Log4j2代码执行漏洞的防护,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台将于12月10日发布入侵防御规则库10525版本,支持对Log4j2代码执行漏洞的防护,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。


参考资料

[1] https://github.com/apache/logging-log4j2

[2] https://github.com/apache/logging-log4j2/commit/7fe72d6



时间线

2021年12月09日,奇安信 CERT发布安全风险通告

2021年12月10日,奇安信 CERT发布安全风险通告第二次更新

2021年12月10日,奇安信 CERT发布安全风险通告第三次更新








推荐阅读
在线阅读版:《2021中国软件供应链安全分析报告》全文“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情


文章有问题?点此查看未经处理的缓存