近日,天融信阿尔法实验室监测到互联网上公开发布了关于 log4j2任意代码执行漏洞的利用代码。log4j2中存在jndi注入漏洞,当程序将客户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。该组件应用范围非常广泛,如:apache struts2、apache solr、apache druid等开发框架及中间件中,漏洞相关细节与poc已在互联网公开,漏洞利用简单,危害巨大,建议客户尽快开展自查并更新至最新版本或启用安全防护产品以防御漏洞。
该漏洞理论上来讲是log4j2本身的正常功能,只是该功能被恶意利用。关键点从messagepatternconverter.format方法开始,首先该方法会判断输入的字符串中是否包含"${"
如果存在则会进入判断中,调用config.getstrsubstitutor().replace(event, value),问题config.getstrsubstitutor().replace(event, value),config.getstrsubstitutor()执行完成后返回一个strsubstitutor对象,紧接着调用strsubstitutor.replace方法,然后在该方法中又调用了substitute方法。
该漏洞会将"${}"中的内容当作表达式,从而进行远程加载,在这里log4j2的本意应该是将ldap服务器上该地址中所记录的东西加载到本地,来进行一个字符串替换。具体的调用栈如下:
受影响版本及相关产品
受影响版本
apache log4j2 2.* <= apache log4j2 2.15.1.rc1
主流相关产品
spring-boot-strater-log4j2
apache struts2
apache solr
apache flink
apache druid
elasticsearch
flume
dubbo
redis
更多组件可参考如下链接:
https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1
漏洞检测方法
手动检测
1.白盒的情况下可以看代码有没有使用到log4j2低版本的jar包来快速判断。以maven构建的项目为例,可以查看其pom.xml中是否添加了低版本log4j2的依赖。
2. 使用黑盒测试插入poc测试相关功能点是否存在漏洞。
天融信产品检测
# 天融信脆弱性扫描与管理系统 #
天融信脆弱性扫描与管理系统集成了系统漏扫、web漏扫、数据库漏扫、弱口令检测、基线核查等功能,从多角度进行信息资产的脆弱性审计,提供专业的安全分析和修补建议。
目前天融信脆弱性扫描与管理系统已紧急更新log4j2任意代码执行漏洞检查插件,帮助客户进行漏洞排查。
排查建议
天融信脆弱性扫描与管理系统针对此漏洞的规则库更新如下图:
天融信脆弱性扫描与管理系统针对该漏洞检查结果如下图所示 :
排查方法
1. 在线自动升级,在“超级管理员”账号【系统管理】→【插件库升级】→【立即更新】→立即升级。
2.创建漏洞扫描任务,扫描完成后查看报告,如存在该漏洞,可按照报告中的修复建议进行“补缺”。
漏洞缓解方案
官方升级
1. apache log4j2 2.15.1.rc1已被发现存在绕过,现在需更新至最新版本2.15.1.rc2,下载地址如下:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2. 建议对相关联主流产品如 apache struts2/apache solr/apache flink/apache druid 等已知受影响的应用及组件进行升级
临时防护措施
1.在项目中添加log4j2.component.properties文件,在其中写入内容log4j2.formatmsgnolookups=true
2. 添加jvm启动参数:
-dlog4j2.formatmsgnolookups=true
3. 系统环境变量 format_messages_pattern_disable_lookups 设置为true
4. 关闭对应应用的网络外连,禁止主动外连。
天融信产品防护
天融信下一代防火墙、utm、waf、ips、ids、僵木蠕等产品规则库均已升级完毕,可登录ftp://ftp.topsec.com.cn升级中心下载最新升级包。
下一代防火墙产品(ngfw)、utm产品
天融信已经紧急发布特征库升级包(ips-v2021.12.10.tir),可通过在线升级或离线升级的方式,即可对此攻击进行检测和防护。
点击【系统管理】→【系统维护】→【系统更新】→【规则库升级】,选择“入侵防御特征库”后点击“导入”。
升级后可引用相关漏洞规则:
web应用防火墙产品(topwaf)
天融信已经紧急发布特征库升级包(waf-v2021.12.10),可通过在线升级或离线升级的方式,即可对此攻击进行检测和防护。
点击【系统管理】→【系统维护】→【规则库升级】,勾选“waf规则库”复选框,点击“导入”。
升级后可引用相关漏洞规则:
入侵检测产品(topsentry)、入侵防御产品(topidp)、僵木蠕检测产品(toptvd)
天融信已经紧急发布特征库升级包(ips-v2021.12.10.tir、ngips-v2021.12.10.003.tor),可通过在线升级或离线升级的方式,即可对此攻击进行检测和防护。
点击【系统】→【规则库升级】,选择“攻击检测规则库”的复选框后,点击“导入”。
升级后可引用相关漏洞规则:
天融信云端服务申请
天融信安全云服务依托云端大数据平台,结合全国部署的探针节点及云服务运营团队,7x24小时为客户提供基于saas的网络资产测绘、网站监测、云防护以及威胁情报分析等服务。
目前天融信安全云服务平台已具备对apache log4j2远程代码执行漏洞的远程检测和防护能力。
资产暴露面检测服务:对目标网络快速、全面的探测,识别受“log4j2”版本影响的资产信息,快速了解风险资产分布及设备详情。
云检测服务:线上接入,第一时间对客户网络环境进行漏洞扫描,快速排查是否存在此漏洞,安全专家远程提供修复支持。
云waf防护:基于ai的一站式web业务风险防护服务,能够实时保护网站安全,提高web站点的安全性和可靠性。目前已升级规则并具备对该漏洞的防护能力。
详情可咨询天融信本地销售,或通过公司邮箱,邮件发送至:
zhangkai@topsec.com.cn
yan_songqi@topsec.com.cn
咨询热线:
18310916559、13718958574