知道創(chuàng)宇：從創(chuàng)宇盾感知Apache Log4j2 曝光前后驚魂24小時態(tài)勢

摘要：Apache Log4j是Java程序中最常使用的開源日志記錄組件，目前該組件存在高危漏洞 ，全球黑客正在瘋狂利用中...

一：漏洞描述

Apache Log4j2 是Java程序中最常使用的開源日志記錄組件。近日，404積極防御實驗室通過創(chuàng)宇安全智腦監(jiān)測到 Apache Log4j2 遠(yuǎn)程代碼執(zhí)行高危漏洞被攻擊者利用。經(jīng)專家驗證，該漏洞只要外部用戶輸入的數(shù)據(jù)如果被日志記錄，即可觸發(fā)導(dǎo)致遠(yuǎn)程代碼執(zhí)行，成功利用該漏洞的攻擊者可以在目標(biāo)設(shè)備上遠(yuǎn)程執(zhí)行惡意代碼。

二：漏洞危害

Apache Log4j2 是Java程序中最常使用的開源日志記錄組件，市面上絕大多數(shù)Java應(yīng)用都使用了該組件，Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞利用門檻低無需特殊配置，在短時間內(nèi)呈井噴式爆發(fā)，全球黑客正在瘋狂利用中.....

可能受影響的應(yīng)用：

Apache Spark、Apache Struts2、Apache Solr、Apache Kafka、Apache Druid、Apache Flink、Logstash、ElasticSearch、Apache Flume、Apache Dubbo等Java應(yīng)用。

漏洞評估：

回溯分析：

漏洞應(yīng)急響應(yīng)后回溯分析發(fā)現(xiàn)在11月25日就已有攻擊者利用該漏洞進(jìn)行攻擊，該攻擊被創(chuàng)宇盾智能引擎攔截，攻擊失敗。攔截日志如下：

圖：日志截圖

從捕獲到的數(shù)據(jù)分析來看，漏洞公布后，國內(nèi)的攻擊首先爆發(fā)，云防御平臺監(jiān)測到從12月10日0點開始，漏洞攻擊次數(shù)直線上升，12月10日0點-16點，國內(nèi)利用該漏洞進(jìn)行攻擊高達(dá)48820次，隨后境外的攻擊數(shù)量也不斷增加。

圖：漏洞公布后攻擊趨勢圖

從國內(nèi)被攻擊的區(qū)域分布來看，被攻擊的業(yè)務(wù)系統(tǒng)中，北京、云南是被攻擊最多的地區(qū)。

圖：國內(nèi)被攻擊區(qū)域分布圖

從國內(nèi)被攻擊的行業(yè)分布來看，政府部門、高校、金融行業(yè)都是被攻擊的重點對象。

圖：國內(nèi)被攻擊行業(yè)分布圖

創(chuàng)宇安全智腦捕獲到的攻擊IP TOP10如下：

同時知道創(chuàng)宇業(yè)務(wù)安全輿情監(jiān)測平臺監(jiān)測到，目前已有包括CloudFlare、Apple、亞馬遜等在內(nèi)的許多世界知名科技公司受到影響：

大多數(shù)Java應(yīng)用都使用了Log4j2，通過對該漏洞的利用情況分析，可以看出該漏洞帶來的影響非常廣泛，且危害極大。截止今日17：00，在知道創(chuàng)宇云監(jiān)測ScanV MAX監(jiān)測的范圍內(nèi)，有36%的系統(tǒng)都受到該漏洞影響，經(jīng)初步驗證，這些系統(tǒng)均為Java開發(fā)。

經(jīng)知道創(chuàng)宇404積極防御實驗室安全專家結(jié)合創(chuàng)宇安全智腦的大數(shù)據(jù)分析研判，由于該漏洞是遠(yuǎn)程代碼執(zhí)行漏洞，且利用門檻極低，漏洞的爆發(fā)后續(xù)可能會導(dǎo)致勒索病毒和DDoS攻擊增多。

三：漏洞時間線

2021-11-25 16:15 知道創(chuàng)宇安全智腦捕獲到疑似漏洞特征

2021-12-05 12:00 官方增加兩處commit修復(fù)漏洞

2021-12-07 07:13 官方發(fā)布2.15.0-rc1 版本

2021-12-09 20:35 知道創(chuàng)宇404積極防御實驗室成功復(fù)現(xiàn)漏洞，經(jīng)測試創(chuàng)宇盾無需升級即可攔截

2021-12-09 21:20 發(fā)布漏洞風(fēng)險提示

2021-12-09 22:35上線ScanV Max插件，支持該漏洞檢測

2021-12-10 02:14 官方緊急發(fā)布2.15.0-rc2版本修復(fù)rc1版本繞過問題

2021-12-10 08:40 CVE頒發(fā)漏洞編號：CVE-2021-44228

2021-12-10 10:46 CNVD頒發(fā)漏洞編號：CNVD-2021-95914

四：修復(fù)建議

1、官方已發(fā)布更新，受影響的系統(tǒng)請盡快更新到最新版本

2、修改Java程序的啟動參數(shù)：-Dlog4j2.formatMsgNoLookups=true;或修改Log4j2的配置項log4j2.formatMsgNoLookups=true;也可將系統(tǒng)環(huán)境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設(shè)置為 true;

3、使用新版本11.0+的JDK;老版本JDK建議更新為8u191、7u201或6u211，可以在一定程度上限制JNDI等漏洞利用方式;

4、接入知道創(chuàng)宇創(chuàng)宇盾，無需升級默認(rèn)即可攔截;

5、接入云監(jiān)測ScanV MAX，已完成更新支持該漏洞檢測。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）