克日,,,,,,3377体育网官网入口阿尔法实验室监测到互联网上果真宣布了关于 Log4j2恣意代码执行误差的使用代码。。。。。。Log4j2中保存JNDI注入误差,,,,,,当程序将客户输入的数据举行日志纪录时,,,,,,即可触发此误差,,,,,,乐成使用此误差可以在目的服务器上执行恣意代码。。。。。。该组件应用规模很是普遍,,,,,,如:Apache Struts2、Apache Solr、Apache Druid等开发框架及中心件中,,,,,,误差相关细节与POC已在互联网果真,,,,,,误差使用简朴,,,,,,危害重大,,,,,,建议客户尽快开展自查并更新至最新版本或启用清静防护产品以防御误差。。。。。。
该误差理论上来讲是log4j2自己的正常功效,,,,,,只是该功效被恶意使用。。。。。。要害点从MessagePatternConverter.format要领最先,,,,,,首先该要体会判断输入的字符串中是否包括"${"

若是保存则会进入判断中,,,,,,挪用config.getStrSubstitutor().replace(event, value),,,,,,问题config.getStrSubstitutor().replace(event, value),,,,,,config.getStrSubstitutor()执行完成后返回一个StrSubstitutor工具,,,,,,紧接着挪用StrSubstitutor.replace要领,,,,,,然后在该要领中又挪用了substitute要领。。。。。。

该误差会将"${}"中的内容看成表达式,,,,,,从而举行远程加载,,,,,,在这里log4j2的本意应该是将ldap服务器上该地点中所纪录的工具加载到外地,,,,,,来举行一个字符串替换。。。。。。详细的挪用栈如下:

受影响版本及相关产品
受影响版本
Apache log4j2 2.* <= Apache log4j2 2.15.1.rc1
主流相关产品
Spring-Boot-strater-log4j2
Apache Struts2
Apache Solr
Apache Flink
Apache Druid
ElasticSearch
Flume
Dubbo
Redis
更多组件可参考如下链接:
https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1
误差检测要领
手动检测
1.白盒的情形下可以看代码有没有使用到Log4j2低版本的jar包来快速判断。。。。。。以Maven构建的项目为例,,,,,,可以审查其pom.xml中是否添加了低版本log4j2的依赖。。。。。。

2. 使用黑盒测试插入POC测试相关功效点是否保存误差。。。。。。


3377体育网官网入口产品检测
# 3377体育网官网入口懦弱性扫描与治理系统 #
3377体育网官网入口懦弱性扫描与治理系统集成了系统漏扫、Web漏扫、数据库漏扫、弱口令检测、基线核查等功效,,,,,,从多角度举行信息资产的懦弱性审计,,,,,,提供专业的清静剖析和修补建议。。。。。。
现在3377体育网官网入口懦弱性扫描与治理系统已紧迫更新Log4j2恣意代码执行误差检查插件,,,,,,资助客户举行误差排查。。。。。。
排查建议
3377体育网官网入口懦弱性扫描与治理系统针对此误差的规则库更新如下图:

3377体育网官网入口懦弱性扫描与治理系统针对该误差检查效果如下图所示 :

排查要领
1. 在线自动升级,,,,,,在“超等治理员”账号【系统治理】→【插件库升级】→【连忙更新】→连忙升级。。。。。。
2.建设误差扫描使命,,,,,,扫描完成后审查报告,,,,,,如保存该误差,,,,,,可凭证报告中的修复建议举行“补缺”。。。。。。
误差缓解计划
官方升级
1. Apache Log4j2 2.15.1.rc1已被发明保存绕过,,,,,,现在需更新至最新版本2.15.1.rc2,,,,,,下载地点如下:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2. 建议对相关联主流产品如 Apache Struts2/Apache Solr/Apache Flink/Apache Druid 等已知受影响的应用及组件举行升级
暂时防护步伐
1.在项目中添加log4j2.component.properties文件,,,,,,在其中写入内容log4j2.formatMsgNoLookups=true

2. 添加jvm启动参数:
-Dlog4j2.formatMsgNoLookups=true
3. 系统情形变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true
4. 关闭对应应用的网络外连,,,,,,榨取自动外连。。。。。。
3377体育网官网入口产品防护
3377体育网官网入口下一代防火墙、UTM、WAF、IPS、IDS、僵木蠕等产品规则库均已升级完毕,,,,,,可登录ftp://ftp.topsec.com.cn升级中心下载最新升级包。。。。。。
下一代防火墙产品(NGFW)、UTM产品
3377体育网官网入口已经紧迫宣布特征库升级包(ips-v2021.12.10.tir),,,,,,可通过在线升级或离线升级的方法,,,,,,即可对此攻击举行检测和防护。。。。。。
点击【系统治理】→【系统维护】→【系统更新】→【规则库升级】,,,,,,选择“入侵防御特征库”后点击“导入”。。。。。。

升级后可引用相关误差规则:

Web应用防火墙产品(TopWAF)
3377体育网官网入口已经紧迫宣布特征库升级包(waf-v2021.12.10),,,,,,可通过在线升级或离线升级的方法,,,,,,即可对此攻击举行检测和防护。。。。。。
点击【系统治理】→【系统维护】→【规则库升级】,,,,,,勾选“WAF规则库”复选框,,,,,,点击“导入”。。。。。。

升级后可引用相关误差规则:

入侵检测产品(TopSentry)、入侵防御产品(TopIDP)、僵木蠕检测产品(TopTVD)
3377体育网官网入口已经紧迫宣布特征库升级包(ips-v2021.12.10.tir、ngips-v2021.12.10.003.tor),,,,,,可通过在线升级或离线升级的方法,,,,,,即可对此攻击举行检测和防护。。。。。。
点击【系统】→【规则库升级】,,,,,,选择“攻击检测规则库”的复选框后,,,,,,点击“导入”。。。。。。

升级后可引用相关误差规则:

3377体育网官网入口云端服务申请
3377体育网官网入口清静云服务依托云端大数据平台,,,,,,团结天下安排的探针节点及云服务运营团队,,,,,,7x24小时为客户提供基于SaaS的网络资产测绘、网站监测、云防护以及威胁情报剖析等服务。。。。。。
现在3377体育网官网入口清静云服务平台已具备对Apache Log4j2远程代码执行误差的远程检测和防护能力。。。。。。
资产袒露面检测服务:对目的网络快速、周全的探测,,,,,,识别受“Log4j2”版本影响的资产信息,,,,,,快速相识危害资产漫衍及装备详情。。。。。。
云检测服务:线上接入,,,,,,第一时间对客户网络情形举行误差扫描,,,,,,快速排查是否保存此误差,,,,,,清静专家远程提供修复支持。。。。。。
云WAF防护:基于AI的一站式Web营业危害防护服务,,,,,,能够实时保唬;;;ね厩寰玻,,,,提高Web站点的清静性和可靠性。。。。。。现在已升级规则并具备对该误差的防护能力。。。。。。
详情可咨询3377体育网官网入口外地销售,,,,,,或通过公司邮箱,,,,,,邮件发送至:
zhangkai@topsec.com.cn
yan_songqi@topsec.com.cn
咨询热线:
18310916559、13718958574

京公网安备 11010802026257号