知道创宇:从创宇盾感知Apache Log4j2 曝光前后惊魂24小时态势

2021年12月11日 10:19 次阅读 稿源:知道创宇 条评论

摘要:Apache Log4j是Java程序中最常使用的开源日志记录组件,目前该组件存在高危漏洞 ,全球黑客正在疯狂利用中...

一:漏洞描述

Apache Log4j2 是Java程序中最常使用的开源日志记录组件。近日,404积极防御实验室通过创宇安全智脑监测到 Apache Log4j2 远程代码执行高危漏洞被攻击者利用。


经专家验证,该漏洞只要外部用户输入的数据如果被日志记录,即可触发导致远程代码执行,成功利用该漏洞的攻击者可以在目标设备上远程执行恶意代码。


二:漏洞危害

Apache Log4j2 是Java程序中最常使用的开源日志记录组件,市面上绝大多数Java应用都使用了该组件,Log4j2 远程代码执行漏洞利用门槛低无需特殊配置,在短时间内呈井喷式爆发,全球黑客正在疯狂利用中.....

可能受影响的应用:

Apache Spark、Apache Struts2、Apache Solr、Apache Kafka、Apache Druid、Apache Flink、Logstash、ElasticSearch、Apache Flume、Apache Dubbo等Java应用。

漏洞评估:


回溯分析:

漏洞应急响应后回溯分析发现在11月25日就已有攻击者利用该漏洞进行攻击,该攻击被创宇盾智能引擎拦截,攻击失败。拦截日志如下:


图:日志截图

从捕获到的数据分析来看,漏洞公布后,国内的攻击首先爆发,云防御平台监测到从12月10日0点开始,漏洞攻击次数直线上升,12月10日0点-16点,国内利用该漏洞进行攻击高达48820次,随后境外的攻击数量也不断增加。


图:漏洞公布后攻击趋势图

从国内被攻击的区域分布来看,被攻击的业务系统中,北京、云南是被攻击最多的地区。


图:国内被攻击区域分布图

从国内被攻击的行业分布来看,政府部门、高校、金融行业都是被攻击的重点对象。


图:国内被攻击行业分布图

创宇安全智脑捕获到的攻击IP TOP10如下:


同时知道创宇业务安全舆情监测平台监测到,目前已有包括CloudFlare、Apple、亚马逊等在内的许多世界知名科技公司受到影响:



大多数Java应用都使用了Log4j2,通过对该漏洞的利用情况分析,可以看出该漏洞带来的影响非常广泛,且危害极大。截止今日17:00,在知道创宇云监测ScanV MAX监测的范围内,有36%的系统都受到该漏洞影响,经初步验证,这些系统均为Java开发。

经知道创宇404积极防御实验室安全专家结合创宇安全智脑的大数据分析研判,由于该漏洞是远程代码执行漏洞,且利用门槛极低,漏洞的爆发后续可能会导致勒索病毒和DDoS攻击增多。

三:漏洞时间线

2021-11-25 16:15 知道创宇安全智脑捕获到疑似漏洞特征

2021-12-05 12:00 官方增加两处commit修复漏洞

2021-12-07 07:13 官方发布2.15.0-rc1 版本

2021-12-09 20:35 知道创宇404积极防御实验室成功复现漏洞,经测试创宇盾无需升级即可拦截

2021-12-09 21:20 发布漏洞风险提示

2021-12-09 22:35 上线ScanV Max插件,支持该漏洞检测

2021-12-10 02:14 官方紧急发布2.15.0-rc2版本修复rc1版本绕过问题

2021-12-10 08:40 CVE颁发漏洞编号:CVE-2021-44228

2021-12-10 10:46 CNVD颁发漏洞编号:CNVD-2021-95914

四:修复建议

1、官方已发布更新,受影响的系统请尽快更新到最新版本

(补丁地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2);

2、修改Java程序的启动参数:-Dlog4j2.formatMsgNoLookups=true;或修改Log4j2的配置项log4j2.formatMsgNoLookups=true;也可将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true;

3、使用新版本11.0+的JDK;老版本JDK建议更新为8u191、7u201或6u211,可以在一定程度上限制JNDI等漏洞利用方式;

4、接入知道创宇创宇盾(https://defense.yunaq.com/cyd/),无需升级默认即可拦截;

5、接入云监测ScanV MAX(https://www.scanv.com/),已完成更新支持该漏洞检测。

五:参考

Apache Log4j2 官网:https://logging.apache.org/log4j/2.x/

官方漏洞补丁:https://github.com/apache/logging-log4j2/commit/d82b47c6fae9c15fcb183170394d5f1a01ac02d3

https://github.com/apache/logging-log4j2/commit/04637dd9102175f765cfad349de0c2a63c279ac3

Seebug收录链接:https://www.seebug.org/vuldb/ssvid-99398

CNVD-2021-95914:https://www.cnvd.org.cn/flaw/show/CNVD-2021-95914

CVE-2021-44228:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

我们在FebBox(https://www.febbox.com/cnbeta) 开通了新的频道,更好阅读体验,更及时更新提醒,欢迎前来阅览和打赏。

对文章打分

知道创宇:从创宇盾感知Apache Log4j2 曝光前后惊魂24小时态势

1 (50%)
已有 条意见

    最新资讯

    加载中...

    编辑精选

    加载中...

    热门评论

      相关文章

      Top 10

      招聘

      created by ceallan