近日, Apache Log4j被发现存在一处任意代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。经验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响,鉴于此漏洞危害巨大,利用门槛极低,慧御安全专家建议用户尽快参考缓解方案阻止漏洞攻击。
产品解决方案
慧御网站安全云防护系统已全面支持对 Apache Log4j 任意代码执行漏洞的防护。
慧御网站安全云防护系统(简称,慧御云防护),是云盾智慧推出的网站综合安全防护解决方案级产品,基于DNS和CDN技术,通过遍布全国的防护节点,为客户提供多位一体的综合安全能力,有效降低网站被篡改或数据泄露风险。
漏洞描述
【当前漏洞状态】
| 技术细节 | PoC状态 | EXP状态 | 在野利用 |
| 已公开 | 已公开 | 已公开 | 已发现 |
【影响设备版本】
Apache Log4j 2.x <= 2.14.1
【漏洞描述】
Apache Log4j 是 Apache 的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程。经过分析,Log4j-2中存在JNDI注入漏洞,攻击者可以通过构造特殊的请求进行任意代码执行,以达到控制服务器的目的。
【处置建议】
1、升级到最新版本:
请联系厂商获取修复后的官方版本:
https://github.com/apache/logging-log4j2
已发现官方修复代码,目前尚未正式发布:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2、缓解措施:
(1). jvm 参数 -Dlog4j2.formatMsgNoLookups=true
(2). log4j2.formatMsgNoLookups=True
(3).系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置
为 true
Apache log4j2 任意命令执行漏洞分析
从慧御云防护系统的防护数据中,发现攻击信息如下;
攻击事件最早出现时间
2021年12月9日22时
共发现攻击次数
5000+次
攻击IP top 10
| 序号 | 攻击IP |
| 1 | 61.****.67 |
| 2 | 221.****.120 |
| 3 | 61.****.172 |
| 4 | 114.***.81 |
| 5 | 117.***.190 |
| 6 | 101.***.47 |
| 7 | 3.***.236 |
| 8 | 16.***7.53 |
| 9 | 119.***.130 |
| 10 | 117.***.230 |
攻击者地理TOP 10分布
| 序号 | 地理位置 |
| 1 | 中国 河南 郑州市 |
| 2 | 中国 北京 |
| 3 | 中国 湖北 十堰市 |
| 4 | 中国 上海 |
| 5 | 中国 湖北 武汉市 |
| 6 | 新加坡 |
| 7 | 中国 吉林 长春市 |
| 8 | 中国 四川 成都市 |
| 9 | 中国 安徽 安庆市 |
| 10 | 美国 |
攻击payload引用IP TOP 10
| 序号 | 攻击payload引用IP或域名 |
| 1 | 49.***.177 |
| 2 | Evi***.top |
| 3 | Dn***.cn |
| 4 | n.36***.com |
| 5 | 103.***.184 |
| 6 | 119.***.131 |
| 7 | dns.***.org |
| 8 | 101.***.215 |
| 9 | Ce***.io |
| 10 | ns.***.cf |
经分析,攻击IP主要集中在国内,其中单攻击IP:61.***.67,就进行了3000+次攻击,来自境外攻击较少,攻击主要集中在政府网站(一半的攻击集中在工信部的网站),针对攻击payload中使用的攻击代码分析,存放攻击代码或进行漏洞验证的服务器多为国内VPS厂商,域名也多为国内域名,从12月9号开始,攻击开始呈上升趋势,后续将继续保持对该漏洞的关注。
申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!
云盾智慧
云盾智慧安全科技有限公司专注于网络安全产品、服务和解决方案的创新与研发,是专门为政府、企事业单位等各行各业机构提供企业级网络安全产品、服务、解决方案的专业安全公司。 云盾智慧当前可提供Web安全解决方案、网络安全态势感知解决方案以及网络安全服务。
