Apache Log4j 远程代码执行漏洞
作者: 日期:2021年12月13日 阅:2,743

近日, Apache Log4j被发现存在一处任意代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。经验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响,鉴于此漏洞危害巨大,利用门槛极低,慧御安全专家建议用户尽快参考缓解方案阻止漏洞攻击。

产品解决方案

慧御网站安全云防护系统已全面支持对 Apache Log4j 任意代码执行漏洞的防护。

慧御网站安全云防护系统(简称,慧御云防护),是云盾智慧推出的网站综合安全防护解决方案级产品,基于DNS和CDN技术,通过遍布全国的防护节点,为客户提供多位一体的综合安全能力,有效降低网站被篡改或数据泄露风险。

漏洞描述

【当前漏洞状态】
技术细节PoC状态EXP状态在野利用
已公开已公开已公开已发现
【影响设备版本】

Apache Log4j 2.x <= 2.14.1

【漏洞描述】

Apache Log4j 是 Apache 的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程。经过分析,Log4j-2中存在JNDI注入漏洞,攻击者可以通过构造特殊的请求进行任意代码执行,以达到控制服务器的目的。

【处置建议】
1、升级到最新版本:

请联系厂商获取修复后的官方版本:

https://github.com/apache/logging-log4j2

已发现官方修复代码,目前尚未正式发布:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、缓解措施:

(1). jvm 参数 -Dlog4j2.formatMsgNoLookups=true

(2). log4j2.formatMsgNoLookups=True

(3).系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置

为 true

Apache log4j2 任意命令执行漏洞分析

从慧御云防护系统的防护数据中,发现攻击信息如下;

攻击事件最早出现时间

2021年12月9日22时

共发现攻击次数

5000+次

攻击IP top 10
序号攻击IP
161.****.67
2221.****.120
361.****.172
4114.***.81
5117.***.190
6101.***.47
73.***.236
816.***7.53
9119.***.130
10117.***.230
攻击者地理TOP 10分布
序号地理位置
1中国 河南 郑州市
2中国 北京
3中国 湖北 十堰市
4中国 上海
5中国 湖北 武汉市
6新加坡
7中国 吉林 长春市
8中国 四川 成都市
9中国 安徽 安庆市
10美国
攻击payload引用IP TOP 10
序号攻击payload引用IP或域名
149.***.177
2Evi***.top
3Dn***.cn
4n.36***.com
5103.***.184
6119.***.131
7dns.***.org
8101.***.215
9Ce***.io
10ns.***.cf

经分析,攻击IP主要集中在国内,其中单攻击IP:61.***.67,就进行了3000+次攻击,来自境外攻击较少,攻击主要集中在政府网站(一半的攻击集中在工信部的网站),针对攻击payload中使用的攻击代码分析,存放攻击代码或进行漏洞验证的服务器多为国内VPS厂商,域名也多为国内域名,从12月9号开始,攻击开始呈上升趋势,后续将继续保持对该漏洞的关注。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章