公司动态 行业动态 安全通告

漏洞通告 | Apache Log4j任意代码执行漏洞及用户自查建议(紧急高危!!!)

日期:2021-12-15 14:36:54 投稿人:广东比特豹

【漏洞通告】 Apache Log4j任意代码执行漏洞及用户自查建议(紧急高危!!!)



01
基本情况


12月09日,Apache Log4j任意代码执行漏洞被发现,据了解Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。


02
漏洞检测


对于该漏洞,目前官网上暂未有相关应对举措,因此,比特豹安全建议各位用户先进行自我排查,以下是比特豹安全工程师根据本次漏洞作出的有效自我排查方式,用户可根据各自需求选择其中一种或几种进行自我排查。


一、人工检测


1、相关用户可根据Java jar解压后是否存在org/apache/logging/log4j相关路径结构,判断是否使用了存在漏洞的组件,若存在相关Java程序包,则很可能存在该漏洞。


640.jpg




2、若程序使用Maven打包,查看项目的pom.xml文件中是否存在下图所示的相关字段,若版本号为小于2.15.0,则存在该漏洞。


640 (1).jpg


3、若程序使用gradle打包,可查看build.gradle编译配置文件,若在dependencies部分存在org.apache.logging.log4j相关字段,且版本号为小于2.15.0,则存在该漏洞。


640 (2).jpg



二、攻击排查


1、攻击者在利用前通常采用dnslog方式进行扫描、探测,常见的漏洞利用方式可通过应用系统报错日志中的"javax.naming.CommunicationException"、

"javax.naming.NamingException: problem generating object using object factory"、"Error looking up JNDI resource"关键字进行排查。


640 (3).jpg


2、攻击者发送的数据包中可能存在"${jndi:}" 字样,推荐使用全流量或WAF设备进行检索排查。


640 (4).jpg


03
影响范围

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息,因此本次漏洞影响范围广泛,目前可确认的受影响版本包括:


Log4j -2<= 2.14.1



04
处置建议

1. 目前官网暂未有相应补丁下载链接,用户可选择下载临时补丁,并时刻关注比特豹安全以获得最新漏洞消息:

 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2


2.升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink


3.紧急解决方案:
    log4j2.formatMsgNoLookups=True
    如遇紧急情况,可按照以下方式进行紧急避险:

上一篇 目录 下一篇