最新log4j2遠程代碼執行漏洞(附解決方法)

Posted on by

問題描述

在12月9日晚間出現瞭Apache Log4j2 遠程代碼執行漏洞攻擊代碼。該漏洞利用無需特殊配置,經多方驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2是一款流行的Java日志框架,建議廣大交易所、錢包、DeFi項目方抓緊自查是否受漏洞影響,並盡快升級新版本。

Apache Log4j2是一個基於Java的日志記錄工具。該工具重寫瞭Log4j框架,並且引入瞭大量豐富的特性。該日志框架被大量用於業務系統開發,用來記錄日志信息。大多數情況下,開發者可能會將用戶輸入導致的錯誤信息寫入日志中。此次漏洞觸發條件為隻要外部用戶輸入的數據會被日志記錄,即可造成遠程代碼執行。

經邊界無限安全攻防團隊研判後,認定該漏洞影響范圍極廣,漏洞危害極大。

影響判斷方式,用戶隻需排查Java應用是否引入 log4j-api , log4j-core 兩個jar。若存在應用使用,極大可能會受到影響。

漏洞簡介

漏洞名稱 : Apache Log4j2遠程代碼執行漏洞

組件名稱 : Apache Log4j2

影響版本 : 2.0 ≤ Apache Log4j <= 2.14.1

漏洞類型 : 遠程代碼執行

利用條件 :

1、用戶認證:不需要用戶認證
2、前置條件:默認配置
3、觸發方式:遠程

綜合評價 :

<綜合評定利用難度>:容易,無需授權即可遠程代碼執行。

<綜合評定威脅等級>:嚴重,能造成遠程代碼執行。

臨時解決方案

緊急緩解措施

(1)修改 jvm 參數 -Dlog4j2.formatMsgNoLookups=true
(2)修改配置 log4j2.formatMsgNoLookups=True
(3)將系統環境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為 true

  檢測方案

(1)由於攻擊者在攻擊過程中可能使用 DNSLog 進行漏洞探測,建議企業可以通過流量監測設備監控是否有相關 DNSLog 域名的請求,微步在線的 OneDNS 也已經識別主流 DNSLog 域名並支持攔截。
(2)根據目前微步在線對於此類漏洞的研究積累,我們建議企業可以通過監測相關流量或者日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符來發現可能的攻擊行為。

當前官方已發佈最新版本,建議受影響的用戶及時更新升級到最新版本。

下載地址:Release log4j-2.15.0-rc1 · apache/logging-log4j2 · GitHub

到此這篇關於最新log4j2遠程代碼執行漏洞的文章就介紹到這瞭,更多相關log4j2遠程代碼執行漏洞內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: