【漏洞通告】Apache Log4j2远程代码执行漏洞(CVE-2021-44228)
发布时间 2021-12-10
0x00 漏洞概述
CVE ID | CVE-2021-44228 | 时 间 | 2021-12-9 |
类 型 | RCE | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | |
攻击复杂度 | 低 | 可用性 | |
用户交互 | 所需权限 | ||
PoC/EXP | 已公开 | 在野利用 | 是 |
0x01 漏洞详情
Apache Log4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。
12月9日,启明星辰安全应急响应中心监测到网上披露Apache Log4j2 存在远程代码执行漏洞,该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
目前已知受影响的应用和组件:Apache Solr、Apache Flink、Apache Druid、srping-boot-strater-log4j2以及VMware等,更多信息可参考下面的地址:
https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1
截止12月12日,该漏洞利用已经全网泛滥,网络犯罪组织(如Muhstik僵尸网络)已将该漏洞武器化以发起网络攻击。
影响范围
经验证2.15.0-rc1可被绕过,实际受影响的版本为(1.*版本不受影响):
Apache Log4j 2.x < 2.15.0-rc2
0x02 处置建议
强烈建议受影响用户升级到log4j-2.15.0-rc2。
相关用户可参考启明星辰WAF、IPS、TAR、CSP、IDS、CS、APT等产品相关的解决方案:
https://mp.weixin.qq.com/s/RZDibu2pZwICjTEuTpQ4JA
下载链接:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
临时方案:
l 建议JDK使用6u211、7u201、8u191、11.0.1及以上的版本;
l 添加jvm启动参数:-Dlog4j2.formatMsgNoLookups=true;
l 添加log4j2.component.properties配置文件,增加如下内容为:log4j2.formatMsgNoLookups=true;
l 系统环境变量中将LOG4J_FORMAT_MSG_NO_LOOKUPS设置为true;
l 禁止安装log4j的服务器访问外网,并在边界对dnslog相关域名访问进行检测。
0x03 参考链接
https://github.com/apache/logging-log4j2
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
https://mp.weixin.qq.com/s/J5H9aZVhwQaVn3LvKi2Kqw
0x04 更新版本
版本 | 日期 | 修改内容 |
V1.0 | 2021-12-9 | 首次发布 |
V2.0 | 2021-12-10 | 修改细节 |
V3.0 | 2021-12-10 | 修改bug |
V4.0 | 2021-12-12 | 新增CVE-ID及部分内容、修改缓解措施。 |
0x05 关于我们
公司简介
启明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式挂牌上市,是国内最具实力的信息安全产品和安全管理平台、安全服务与解决方案的领航企业之一。
公司总部位于北京市中关村软件园,在全国各省、市、自治区设立分支机构六十多个,拥有覆盖全国的销售体系、渠道体系和技术支持体系;并在华北、华东、西南和华南布局四大研发中心,分别为北京研发总部、上海研发中心、成都研发中心和广州研发中心。
多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。
关于我们
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
关注以下公众号,获取全球最新安全资讯:
京公网安备11010802024551号