近日, Apache Log4j被发现存在一处任意代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。经验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响,鉴于此漏洞危害巨大,利用门槛极低,慧御安全专家建议用户尽快参考缓解方案阻止漏洞攻击。
产品解决方案
慧御网站安全云防护系统已全面支持对 Apache Log4j 任意代码执行漏洞的防护。
慧御网站安全云防护系统(简称慧御云防护),是云盾智慧推出的网站综合安全防护解决方案级产品,基于DNS和CDN技术,通过遍布全国的防护节点,为客户提供多位一体的综合安全能力,有效降低网站被篡改或数据泄露风险。
漏洞详情
【当前漏洞状态】
技术
细节 PoC
状态 EXP
状态 在野
利用 已公开 已公开 已公开 已发现
【影响设备版本】
Apache Log4j2.x <= 2.14.1
【漏洞描述】
Apache Log4j 是 Apache 的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程。经过分析,Log4j-2中存在JNDI注入漏洞,攻击者可以通过构造特殊的请求进行任意代码执行,以达到控制服务器的目的。
【处置建议】
1、升级到最新版本:
请联系厂商获取修复后的官方版本:
https://github.com/apache/logging-log4j2
已发现官方修复代码,目前尚未正式发布:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2。
2、缓解措施:
(1).jvm参数-Dlog4j2.formatMsgNoLookups=true
(2). log4j2.formatMsgNoLookups=True
(3).系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true
慧御云防护监控分析
从慧御 云防护系统的防护数据中,发现攻击信息如下:
【攻击事件最早出现时间】
2021年12月9日22时
【共发现攻击次数】
5000+次
【攻击IP TOP 10】
序号
攻击IP
1
61.****.67
2
221.****.120
3
61.****.172
4
114.***.81
5
117.***.190
6
101.***.47
7
3.***.236
8
16.***7.53
9
119.***.130
10
117.***.230
【攻击者地理TOP 10分布】
序号
地理位置
1
中国 河南 郑州市
2
中国 北京
3
中国 湖北 十堰市
4
中国 上海
5
中国 湖北 武汉市
6
新加坡
7
中国 吉林 长春市
8
中国 四川 成都市
9
中国 安徽 安庆市
10
美国
【攻击payload引用IP TOP 10】
序号
攻击payload引用IP或域名
1
49.***.177
2
Evi***.top
3
Dn***.cn
4
n.36***.com
5
103.***.184
6
119.***.131
7
dns.***.org
8
101.***.215
9
Ce***.io
10
ns.***.cf
经分析,攻击IP主要集中在国内,其中单攻击IP:61.***.67,就进行了3000+次攻击,来自境外攻击较少,攻击主要集中在政府网站(一半的攻击集中在工信部的网站),针对攻击payload中使用的攻击代码分析,存放攻击代码或进行漏洞验证的服务器多为国内VPS厂商,域名也多为国内域名,从12月9号开始,攻击开始呈上升趋势,后续将继续保持对该漏洞的关注。
- END -
热门跟贴