首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Apache Log4j2遠程代碼執行漏洞(CVE-2021-44228)

發布時間 2021-12-10

 

0x00 漏洞概述

CVE     ID

CVE-2021-44228

時      間

2021-12-9

類      型

RCE

等      級

高危

遠程利用

影響范圍


攻擊復雜度

可用性


用戶交互


所需權限


PoC/EXP

已公開

在野利用

 

0x01 漏洞詳情

image.png

Apache Log4j2是一個開源的Java日志框架,被廣泛地應用在中間件、開發框架與Web應用中。

12月9日,啟明星辰安全應急響應中心監測到網上披露Apache Log4j2 存在遠程代碼執行漏洞,該漏洞是由于Apache Log4j2某些功能存在遞歸解析功能,未經身份驗證的攻擊者通過發送特定惡意數據包,可在目標服務器上執行任意代碼。

目前已知受影響的應用和組件:Apache Solr、Apache Flink、Apache Druid、srping-boot-strater-log4j2以及VMware等,更多信息可參考下面的地址:

https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1

截止12月12日,該漏洞利用已經全網泛濫,網絡犯罪組織(如Muhstik僵尸網絡)已將該漏洞武器化以發起網絡攻擊。

 

影響范圍

經驗證2.15.0-rc1可被繞過,實際受影響的版本為(1.*版本不受影響):

Apache Log4j 2.x < 2.15.0-rc2

 

0x02 處置建議

強烈建議受影響用戶升級到log4j-2.15.0-rc2。

相關用戶可參考啟明星辰WAF、IPS、TAR、CSP、IDS、CS、APT等產品相關的解決方案:

https://mp.weixin.qq.com/s/RZDibu2pZwICjTEuTpQ4JA

 

下載鏈接:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

 

臨時方案:

l  建議JDK使用6u211、7u201、8u191、11.0.1及以上的版本;

l  添加jvm啟動參數:-Dlog4j2.formatMsgNoLookups=true;

l  添加log4j2.component.properties配置文件,增加如下內容為:log4j2.formatMsgNoLookups=true;

l  系統環境變量中將LOG4J_FORMAT_MSG_NO_LOOKUPS設置為true;

l  禁止安裝log4j的服務器訪問外網,并在邊界對dnslog相關域名訪問進行檢測。

 

0x03 參考鏈接

https://github.com/apache/logging-log4j2

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

https://mp.weixin.qq.com/s/J5H9aZVhwQaVn3LvKi2Kqw

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-12-9

首次發布

V2.0

2021-12-10

修改細節

V3.0

2021-12-10

修改bug

V4.0

2021-12-12

新增CVE-ID及部分內容、修改緩解措施。

 

0x05 關于我們

公司簡介

啟明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式掛牌上市,是國內最具實力的信息安全產品和安全管理平臺、安全服務與解決方案的領航企業之一。

公司總部位于北京市中關村軟件園,在全國各省、市、自治區設立分支機構六十多個,擁有覆蓋全國的銷售體系、渠道體系和技術支持體系;并在華北、華東、西南和華南布局四大研發中心,分別為北京研發總部、上海研發中心、成都研發中心和廣州研發中心。

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

 

關于我們

啟明星辰安全應急響應中心主要針對重要安全漏洞的預警、跟蹤和分享全球最新的威脅情報和安全報告。

關注以下公眾號,獲取全球最新安全資訊:

image.png

 


上一篇 下一篇